如何杀死AWS EC2实例上的地雷恶意软件？（受损的服务器）

我在ec2实例上发现了恶意软件，该实例一直在挖掘比特币并使用实例处理能力。我成功地确定了该过程，但是无法将其删除并杀死它。

我运行了此命令， watch "ps aux | sort -nrk 3,3 | head -n 5" 它显示了实例上运行的前五个进程，从中发现有一个名为“ bashd ” 的进程，它消耗了30％的cpu。这个过程是

bashd -a cryptonight -o stratum+tcp://get.bi-chi.com:3333 -u 47EAoaBc5TWDZKVaAYvQ7Y4ZfoJMFathAR882gabJ43wHEfxEp81vfJ3J3j6FQGJxJNQTAwvmJYS2Ei8dbkKcwfPFst8FhG -p x

我使用kill -9 process_id命令杀死了这个过程。5秒钟后，该过程再次开始。

如果您没有在此处放置软件和/或认为您的云实例已受到威胁：请脱机，删除它并从头开始重建它（但请先阅读下面的链接）。它不再属于您，您不再信任它。

请参阅ServerFault上的“如何处理受到感染的服务器”，以获取有关使计算机受到感染时的处理方法和行为的进一步信息。

除了上面链接的列表中要做的事情和思考的事情之外，请注意，根据您的身份和所在的位置，您可能有法律义务将其报告给本地/中央IT安全部门您组织内和/或主管部门的团队/人员（甚至可能在特定时间范围内）。

例如，在瑞典（自2015年12月起），任何国家机构（例如大学）都必须在24小时内报告与IT相关的事件。您的组织将拥有有关如何执行此操作的文档化程序。

此命令bashd与ccminer从ccminer-cryptonight程序到在系统上挖掘Monero的命令相同（存在tuto：Linux上为Monero -Ccminer-cryptonight GPU挖掘程序），该命令bashd是通过别名或修改程序的源代码获得的。

Cryptonight恶意软件：如何杀死进程？（在恶意软件专家网页上找到的信息）

这又是一种新的恶意软件，我们称其为加密夜，这是我们之前从未见过的。它下载可执行的Linux程序并将该http守护程序隐藏在后台，乍一看很难找到进程列表。

手动删除过程

您可以搜索是否有正在运行的进程httpd，该进程启动cryptonight参数：

ps aux | grep cryptonight

然后只需kill -9 process_id具有root权限即可。（您应该杀死而cryptonight不是bashd）

为了安全起见，您应该：

1. 重新安装系统
2. 修补系统以防止远程攻击漏洞：通过SambaCry漏洞被劫持至矿山加密货币的Linux服务器
3. 限制用户运行受限命令