.png)
지속적으로 비트코인을 채굴하고 인스턴스의 처리 능력을 사용하는 맬웨어를 ec2 인스턴스에서 발견했습니다. 프로세스를 성공적으로 식별했지만 삭제하거나 종료할 수 없습니다.
이 명령을 실행했더니
watch "ps aux | sort -nrk 3,3 | head -n 5"
내 인스턴스에서 실행 중인 처음 5개 프로세스가 표시되었습니다. 프로세스 이름이 ''인 것을 확인했습니다.바시드' 이 작업은 CPU의 30%를 소모합니다. 프로세스는 다음과 같습니다.
bashd -a cryptonight -o stratum+tcp://get.bi-chi.com:3333 -u 47EAoaBc5TWDZKVaAYvQ7Y4ZfoJMFathAR882gabJ43wHEfxEp81vfJ3J3j6FQGJxJNQTAwvmJYS2Ei8dbkKcwfPFst8FhG -p x
kill -9 process_id명령을 사용하여 프로세스를 종료했습니다 . 5초 후에 프로세스가 다시 시작됩니다.
답변1
소프트웨어를 설치하지 않았거나 클라우드 인스턴스가 손상되었다고 생각되는 경우: 오프라인으로 가져간 후 삭제하고 처음부터 다시 빌드하세요(단, 먼저 아래 링크를 읽어보세요).그것은 더 이상 당신의 것이 아니며 당신은 더 이상 그것을 믿을 수 없습니다.
바라보다"감염된 서버를 처리하는 방법"ServerFault에서 컴퓨터가 손상된 경우 수행할 작업과 작동 방법에 대해 자세히 알아보세요.
위에 링크된 목록에 있는 해야 할 일과 생각하는 일 외에도 귀하가 누구인지, 어디에 있는지에 따라 다음과 같은 일이 발생할 수 있다는 점에 유의하시기 바랍니다.보고할 법적 의무로컬/중앙 IT 보안 팀/직원 및/또는 조직 내 당국(아마도 특정 기간 내에라도).
예를 들어, 스웨덴에서는(2015년 12월부터) 모든 주립 기관(예: 대학)이 IT 관련 사고를 24시간 이내에 보고할 의무가 있습니다. 귀하의 조직에는 이를 수행하는 방법에 대한 서면 절차가 있을 것입니다.
답변2
이 명령은 시스템의 프로그램 내에서 Monero를 채굴하는 데 사용되는 명령과 동일합니다 bashd(tuto:ccminerccminer-cryptonightMonero - CCminer - Linux의 cryptonight GPU 광부), bashd프로그램 소스 코드의 별칭을 지정하거나 수정하여 얻습니다.
Cryptonight 악성 코드: 프로세스를 종료하는 방법은 무엇입니까? (맬웨어 전문가 웹페이지에서 찾은 정보)
이것은 우리가 cryptonight라고 부르는 또 다른 새로운 악성 코드이며 이전에 본 적이 없는 것입니다. 실행 가능한 Linux 프로그램을 다운로드하고 http 데몬을 백그라운드에 숨겨 프로세스 목록을 한눈에 찾기 어렵게 만듭니다.
수동 제거 프로세스
cryptonight 매개변수를 시작하는 실행 중인 프로세스 httpd가 있는지 검색할 수 있습니다.
ps aux | grep cryptonight
그런 다음 루트 액세스 권한을 가지십시오. (대신 종료해야 하는 프로세스 kill -9 process_id)cryptonightbashd
안전을 위해서는 다음을 수행해야 합니다.
- 시스템 재설치
- 원격 공격 취약성을 방지하려면 시스템을 패치하세요.SambaCry 취약점을 통해 암호화폐를 채굴하기 위해 Linux 서버를 하이재킹했습니다.
- 사용자가 제한된 명령을 실행하지 못하도록 제한