Infección por virus DDoS (como un servicio de Unix) en un servidor web Debian 8 VM

Sufrimos una infección similar en Suse, probablemente a través del inicio de sesión de fuerza bruta ssh.

Los pasos para limpiar son:

1. Revisa el archivo /etc/crontab . Probablemente tengas una entrada para llamar al virus cada 3 minutos

   */3 * * * * root /etc/cron.hourly/cron.sh
   

   Eliminar esta línea.

2. Identifique el proceso principal del virus. El rguoywvrf en tu ps -ej . Los otros procesos se crean y eliminan continuamente.
3. Detente, no lo mates, con kill -STOP 1632
4. Consultar con otro ps -ej que solo vive el padre, los niños deben morir rápidamente
5. Ahora puede eliminar los archivos en /usr/bin y /etc/init.d . Hay variantes del virus que también usan /boot o /bin . Usa ls -lt | head para buscar archivos que hayan sido modificados recientemente.
6. Revise el guión en /etc/cron.hourly/cron.sh . En nuestro servidor estaba llamando a otra copia del virus en /lib/libgcc.so . Eliminar ambos archivos.
7. Ahora puedes matar definitivamente al rguoywvrf proceso.

Para responder a sus preguntas:

1. Sin las precauciones necesarias (syslog fuera del sitio, IDS, monitoreo de registros, etc.), probablemente nunca descubrirá qué sucedió.
2. Tendría que estar de acuerdo con Matt. Invertirá tiempo para hacer funcionar una máquina en la que nunca confiará realmente. En mi opinión, la mejor solución es mover los datos fuera del sitio y rehacer la máquina.

Por supuesto, por lo que vale, esta es solo mi opinión. Sin embargo, al rehacer la máquina, por supuesto, puede tomar las precauciones necesarias y protegerse mejor en el futuro.