如何杀死AWS EC2实例上的地雷恶意软件?(受损的服务器)


26

我在ec2实例上发现了恶意软件,该实例一直在挖掘比特币并使用实例处理能力。我成功地确定了该过程,但是无法将其删除并杀死它。

我运行了此命令, watch "ps aux | sort -nrk 3,3 | head -n 5" 它显示了实例上运行的前五个进程,从中发现有一个名为“ bashd ” 的进程,它消耗了30%的cpu。这个过程是

bashd -a cryptonight -o stratum+tcp://get.bi-chi.com:3333 -u 47EAoaBc5TWDZKVaAYvQ7Y4ZfoJMFathAR882gabJ43wHEfxEp81vfJ3J3j6FQGJxJNQTAwvmJYS2Ei8dbkKcwfPFst8FhG -p x

我使用kill -9 process_id命令杀死了这个过程。5秒钟后,该过程再次开始。


4
您没有提供足够的详细信息(至少您尝试了几个命令)
Basile Starynkevitch

28
“服务器是牛,而不是宠物。” 尤其是真正易于创建和销毁的虚拟服务器。扔掉这个(终止)并创建另一个。或创建另一个,切换并保留旧的,同时弄清楚恶意软件如何传播到那里。
user253751

14
您的实例遭到入侵,请从轨道上
对其进行

4
(请注意其他人阅读的内容-“服务器是牛,而不是宠物” 仅适用于云服务器或大量相同的服务器)
user253751

1
这是在挖掘Monero,而不是比特币(如果有关系的话)
Dmitry Kudriavtsev

Answers:


83

如果您没有在此处放置软件和/或认为您的云实例已受到威胁:请脱机,删除它并从头开始重建它(但请先阅读下面的链接)。它不再属于您,您不再信任它

请参阅ServerFault上的“如何处理受到感染的服务器”,以获取有关使计算机受到感染时的处理方法和行为的进一步信息。

除了上面链接的列表中要做的事情和思考的事情之外,请注意,根据您的身份和所在的位置,您可能有法律义务将其报告给本地/中央IT安全部门您组织内和/或主管部门的团队/人员(甚至可能在特定时间范围内)。

例如,在瑞典(自2015年12月起),任何国家机构(例如大学)都必须在24小时内报告与IT相关的事件。您的组织将拥有有关如何执行此操作的文档化程序。


29
阿们 我认为不能说得更好或更恰当地表达“它不再属于你了”
Rui F Ribeiro

20
您首先需要了解它是如何到达那里的。
kagronick

12

此命令bashdccminerccminer-cryptonight程序到在系统上挖掘Monero的命令相同(存在tuto:Linux上为Monero -Ccminer-cryptonight GPU挖掘程序),该命令bashd是通过别名或修改程序的源代码获得的。

Cryptonight恶意软件:如何杀死进程?(在恶意软件专家网页上找到的信息)

这又是一种新的恶意软件,我们称其为加密夜,这是我们之前从未见过的。它下载可执行的Linux程序并将该http守护程序隐藏在后台,乍一看很难找到进程列表。

手动删除过程

您可以搜索是否有正在运行的进程httpd,该进程启动cryptonight参数:

ps aux | grep cryptonight

然后只需kill -9 process_id具有root权限即可。(您应该杀死而cryptonight不是bashd

为了安全起见,您应该:

  1. 重新安装系统
  2. 修补系统以防止远程攻击漏洞:通过SambaCry漏洞被劫持至矿山加密货币的Linux服务器
  3. 限制用户运行受限命令
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.