マルウェア(cpubalence)-情報と削除
ある種のマルウェアに感染したLinuxホスト(CentOS)があるようです。
/ tmp /に作成されたcpubalenceという実行可能ファイルがあります。起動してCPUを100%消費しているため、ホストの速度が非常に遅くなっているようです。
PIDを簡単に終了して、原因ファイルをrmすることはできますが、1日ほどで返されます。 crontabにそれを開始しているエントリがありません。
他に何をすべきかよくわかりませんが、何かアドバイスはありますか。 Googleで検索しても、「cpubal e nce」に関連するものはあまり見つからないようですが、「cpubal a nce」というマルウェアとしてリストされているファイルは同じでした。ファイルサイズ。 (ただし、MD5は異なります)。
Clamscanを実行しましたが、ファイルが次のように検出されます。
- / tmp/cpubalence:Unix.Malware.Agent-1755468
PC全体をスキャンしたところ、次のことがわかりました。
- {SNIP}/sshd:Unix.Trojan.Agent-37008が見つかりました
- {SNIP}/jbudp:Unix.Trojan.Agent-37008が見つかりました
- {SNIP} /console.war:Java.Malware.Agent-1775460が見つかりました
Console.warは、ホストで使用しているオープンソースソフトウェアに関連するJavaファイルです。スキャンでは元々表示されませんでしたが、現在(数日後)、次のように表示されます。感染したファイル。おそらく赤いニシンですか?
脅威を確実に取り除くための最も安全なオプションであるため、おそらくマシンを再構築します。しかし、私は明らかに、私が何に感染していて、それがどのように起こったかについてもっと知りたいです。
あなたが言うように、システムを再構築するクリーンなOSから行く方法です。システムが危険にさらされているので、それを信頼することはできません。
他に何をすべきですか? すぐにネットワークから削除します。 DDoS(分散型サービス拒否)攻撃を行っているか、ネットワークをスキャンして攻撃するシステムをさらに見つけているため、おそらく100%CPUを使用していますが、どちらも他のシステムに害を及ぼす可能性があります。このシステムを稼働させてネットワークに接続する時間が長くなるほど、マルウェアが引き起こす可能性のある損害が大きくなります。つまり、自分自身や他の人に被害が及ぶ可能性があります。
あなたが話しているこの特定のマルウェアを私は知りません、私はあなたにこのような最近の攻撃を見た一般的なアドバイスを与えているだけです。
最近ではJavaWebアプリケーションが人気のあるターゲットのように思われるため、console.warが最初のベクトルであった可能性があります。このWebアプリケーションがインターネットに公開されている場合、単に再度実行を開始しないでくださいクリーンに再インストールされたシステムで-再び危険にさらされる可能性があります。
あなたはそれがいくつかのオープンソースソフトウェアの一部であると言います-このソフトウェアのセキュリティアップデートをチェックしてください。攻撃者が利用した欠陥はすでに修正されている可能性があります(ただし確実ではありません)。そして覚えておいてください:インターネットにアクセスできるWebアプリケーションは、セキュリティパッチを適用して最新の状態に保つ必要があります。そうしないと、検出されて悪用されます。
また、スキャナーがsshdを疑っているという事実は厄介です。攻撃者がsshデーモンを危険にさらす可能性がある場合、通常、ユーザーがsshを使用してリモートでログインするときに、攻撃者はそれを使用してパスワードを記録します。あなたまたは誰かがssh経由でこのシステムに接続し、パスワードでログインしている場合は、パスワードが侵害されていると想定し、すぐにパスワードを変更してください。
幸運を。このインシデントが大きな損害を引き起こしていないことを願っています。この機会を利用して、システムを保護し、将来の問題を回避できます。
これは私にも起こりました。
攻撃者がpostgresサーバーを使用して、パブリックスキーマの関数を介して/ tmpにファイルを作成していることがわかりました。
データベースを別のサーバーに移行し、新しい環境のデフォルトのパスワードを変更することをお勧めします。