Je suis en utilisant Centos 6.5, j'ai récemment compris que mon ordinateur télécharge quelque chose (je n'ai même pas demandé), à la vitesse de téléchargement de 11 Mbps, mais la partie effrayante est ma vitesse de téléchargement Internet est de 800 kbps, chaque jour indique 200 Go Et ainsi de suite .. Vous pouvez voir des processus inconnus à partir de l'image 1 ci-joint .. GFHDDSFEW, SDMFDSFHJFE, GFHJRTFYHUF, DSFREFR, FERWFRE, REWGTF3ER4T, SFEWFESFS, SDMFDSFHJFE,
J'ai essayé de tuer tous les processus manuellement avec la commande de tuer et supprimé les fichiers de / etc / dossier, mais toujours, si je me connecte à Internet, ces fichiers sont placés dans / etc / automatiquement, je ne vois pas ce problème dans Windows (mon PC est double démarrage).
Remarque: j'ai utilisé Remarque: IM à l'aide de câble de faisceau Internet (BeamTele.com, Hyderabad, Inde)
Voici les images qui affichent le problème
7 Réponses :
Oui, vous êtes piraté!
Félicitations!
Il semble que vous ayez un rootkit, ou une vulnérabilité. Essayez de mettre à jour votre système et d'utiliser des utilitaires tels que que vous devez vérifier les fichiers système
ou vous pouvez réinstaller complètement votre système. rkhunter et clamav .
rpm -q --verify
Et qu'en est-il de ceux qui n'utilisent pas ou n'ont pas de rpm?
Debsums -ca. Mais que se passe-t-il si vous avez un fichier bin de référentiel quelque part dans le chemin ou le démon en mémoire, qui ouvre SSH avec le mauvais identifiant / passe? RPM et les Debsums vérifient uniquement les packages installés.
J'ai découvert qu'il existe un fichier exécutable .ssh2 dans le / etc / dossier. Supprime-le. Cela provoque probablement la création d'un autre fichier exécutable .SSHDD1401029612 dans le répertoire / TMP / TMP qui provoquent tous les problèmes. Je l'ai vérifié à l'aide de HTOP. Le fichier est grand. Les autres fichiers GFHDDSFEW, SDMFDSFHJFE, GFHJRTFYHUF, DSFREFR, Ferwrre étaient probablement probablement des fichiers factices.
Ce ne sera pas utile même si vous avez supprimé ces fichiers: /tmp/.sshdd1401029612 ou /tmp/.sshddxxxxxxxxxxx, /etc/.ssh2, / etc / sfewfesfs
Vous pouvez d'abord supprimer quelques fichiers (binaires) introduits à votre système par l'intrus:
(A) /etc/rcx.d/s99localleight/s99localled/p> 2,3,4,5
Ce script appellera /etc/rc.d/rc.local à Lancez plusieurs attaques sur votre système.
(b) Donc, il est préférable de supprimer immédiatement ce fichier. Vous voyez que le contenu de ce fichier lancera plusieurs fichiers binaires pour attaquer votre système:
Il est fortement recommandé de supprimer ce fichier / etc / rc. d / rc.local par la force.
(c) Après avoir supprimé ces fichiers ci-dessus, vous pouvez commencer à SUDO pour terminer les processus:
(i) / etc / ssh / sshpa
Quelles causes la création de /tmp/.sshddxxxxxxxxxx, /etc/.ssh2, / etc / sfewfesfs
(ii) et pour terminer les processus: /tmp/.sshddxxxxxxxxxxx, /etc/.ssh2, / etc / sfewfesfs
(d) Supprimer ces fichiers immédiatement: / etc / ssh / sshpa, /tmp/.sshdxxxxxxxxxxx, /etc/.ssh2, / etc / sfewfesfs
et utilisez hTOP pour vous assurer qu'ils ne sont plus lancés dans l'arrière-plan. < P> (e) Mise à jour de votre système, n'oubliez pas de modifier le mot de passe de la racine et tous les mots de passe des utilisateurs.
Malheureusement, Chkrootkit et Rkhunter ne pourront pas détecter cet intrus. Je ne sais peut-être pas comment utiliser complètement ces deux vérificateurs rootkit. Ou peut-être que les deux dames rootkit doivent être mis à jour. Ou peut-être qu'il y a une autre raison ...
Merci d'avoir partagé votre problème. Si vous ne l'auriez pas partagée, il serait très difficile de conclure rapidement.
im aussi à l'aide de Cable Net à Mumbai. C'est une attaque de virus. Linux ?? Virus ??? ya c'était ma réaction aussi.
Enfin, j'ai trouvé que c'était coz d'accès root à la machine via SSH CoZ de mot de passe faible (mot de passe "" racine ").
Pour désactiver la connexion racine SSH, Edit / etc / ssh / sshd_config et ajouter / modifier la ligne suivante:
Références: https://forum.manjaro.org/index.php?topic= 13806.0
Regardez également: https://isc.sans.edu/forums/diary/unfriendly++ crontab + ajouts / 17282 / Votre crontab peut être similaire; En tout cas, débarrassez-vous de ces entrées désagréables avant de supprimer les fichiers susmentionnés. Clamav a trouvé deux exploits sur mon serveur et mon crontab a classé www.frade8c.com qui a été suivi à Beijing. Après avoir fait tout ce qui précède, y compris la désactivation de la connexion racine distante, assurez-vous de fermer / modifier le port 22 (si vous utilisez SSH) et de randomiser votre mot de passe root, 15 caractères minimum.
Ce lien était dans un poste de la file d'attente de révision qui a été mis à jour un test que j'ai échoué - whoops. Cependant, je pensais qu'il était intéressant de voir le genre de choses qu'un script coquiné pourrait faire - http://pastebin.com/9IQWHWDE < / a>
Ajout de lots à rc.local, journaux de compensation, processus de tuerie (iptables et je présume d'autres robots), ajoutant des trucs à cron bien sûr. Si quelqu'un d'autre est infecté par cela ou similaire, cela leur donnerait quelques bons endroits pour vérifier les dommages.
J'ai eu le même problème sur un serveur. Vous devez trouver un moyen de rendre l'espace disponible sur le disque à 0% ou de dossier non inscriptible. Ensuite, supprimez tous les fichiers et vous devriez être libre d'y aller.
Je suppose que c'est plus approprié pour serverfault ou superutilisateur
Vous avez la même chose dans une machine d'essai avec un mot de passe de racine triviale et un accès SSH. Je n'ai jamais rien vu de tel auparavant.