Infection par le virus DDoS (en tant que service Unix) sur un serveur Web Debian 8 VM

Nous avons subi une infection similaire sur Suse, probablement via une connexion ssh par force brute.

Les étapes de nettoyage sont :

1. Vérifiez le fichier /etc/crontab . Vous avez probablement une entrée pour appeler le virus toutes les 3 minutes

   */3 * * * * root /etc/cron.hourly/cron.sh
   

   Supprimez cette ligne.

2. Identifiez le processus parent du virus. Le rguoywvrf dans votre ps -ej . Les autres processus sont créés et tués en continu.
3. Arrêtez-le, ne le tuez pas, avec kill -STOP 1632
4. Vérifier avec un autre ps -ej que seul le parent vit, les enfants doivent mourir rapidement
5. Vous pouvez maintenant supprimer les fichiers en /usr/bin et /etc/init.d . Il existe des variantes du virus qui utilisent également /boot ou /bin . Utilisez ls -lt | head pour rechercher les fichiers qui ont été modifiés récemment.
6. Vérifiez le script dans /etc/cron.hourly/cron.sh . Dans notre serveur, il appelait une autre copie du virus sur /lib/libgcc.so . Supprimez les deux fichiers.
7. Maintenant, vous pouvez tuer définitivement le rguoywvrf processus.

Pour répondre à vos questions :

1. Sans les précautions nécessaires (syslog hors site, IDS, surveillance des journaux, etc.), vous ne saurez probablement jamais ce qui s'est passé.
2. Je serais d'accord avec Matt. Vous investirez du temps pour faire fonctionner une machine en laquelle vous n'aurez jamais vraiment confiance. À mon avis, la meilleure solution est de déplacer les données hors site et de refaire la machine.

Bien sûr, pour ce que ça vaut, ce n'est que mon avis. Cependant, lorsque vous refaites la machine, vous pouvez bien sûr prendre les précautions nécessaires et mieux vous protéger à l'avenir.