Suis-je piraté? les processus inconnus dsfref, gfhddsfew, dsfref etc. démarrent automatiquement dans centos 6.5
Im utilisant centos 6.5, récemment, j’ai réalisé que mon ordinateur télécharge quelque chose (je n’ai même pas demandé), à la vitesse de téléchargement 11Mbps, mais la partie effrayante est ma vitesse de téléchargement sur Internet est de 800Kbps, chaque jour .. Vous pouvez voir quelques processus inconnus à partir de l’image 1 ci-jointe. Gfhddsfew, sdmfdsfhjfe, gfhjrtfyhuf, dsfrefr, ferwfrre,
J’ai essayé de tuer tous les processus manuellement avec la commande kill et supprimé les fichiers de / etc / folder, mais quand même, si je me connecte à internet, ces fichiers sont placés dans / etc / automatiquement, je ne vois pas ce problème dans windows pc est dual boot).
Note: J’ai utilisé chattr -i pour changer les permissions et j’ai supprimé le fichier sfewfesfs , quand j’ai essayé de supprimer le fichier sans utiliser chattr, ses permissions ne peuvent pas être changées / le fichier ne peut pas être supprimé. Et une dernière chose, quand j’ai utilisé la commande #rm / etc / sfewfesfs sans chattr , l’ordinateur a redémarré, cela s’est produit tout le temps j’ai essayé de supprimer le fichier sans chattr. et ces exécutables apparaissent dans les processus en cours uniquement lorsque internt est connecté.
Note: Im utilisant Internet par câble (beamtele.com, Hyderabad, Inde)
- Impossible d’obtenir les pandas à installer! Aidez-moi! (pand pand installer)
- VirtualHost ne fonctionne pas sous Apache 2.4.6 sur CentOS 7
- Comment Apache sait-il quel fichier utiliser dans /etc/httpd/conf.d?
- plusieurs fichiers tar (fichiers source) dans le fichier rpm.spec
- PYCURL ERROR 6 – “Impossible de résoudre l’hôte ‘mirrorlist.centos.org'”
Voici les images qui montrent le problème
- Pourquoi swap doit être désactivé dans Datastax Cassandra?
- Erreur ‘Aucun paquet nginx disponible’ CentOS 6.5
- Comment puis-je changer le chemin du fichier pid en MySQL 5.6
- Bz2 chaque fichier dans un répertoire
- pam_appl.h et pam_misc.h manquants, dans le code source rshd.c
Oui, vous êtes piraté!
Toutes nos félicitations!
On dirait que vous avez un rootkit ou une vulnérabilité. Essayez de mettre à jour votre système et utilisez des utilitaires comme rkhunter et clamav .
Que vous devez vérifier les fichiers système
rpm -q --verify
Ou vous pouvez réinstaller complètement votre système à la place.
Cela ne sera pas utile même si vous avez supprimé ces fichiers: /tmp/.sshdd1401029612 ou /tmp/.sshddxxxxxxxxxx, /etc/.SSH2, / etc / sfewfesfs
Vous pouvez d’abord supprimer quelques fichiers (binarys) introduits dans votre système par l’intrus:
(A) /etc/rcX.d/S99local
X = 2,3,4,5
Ce script appelle /etc/rc.d/rc.local pour lancer plusieurs attaques sur votre système.
(B) Il est donc préférable de supprimer immédiatement ce fichier également. Vous voyez que le contenu de ce fichier lancera plusieurs binarys pour attaquer votre système:
#!/bin/sh # # This script will be executed *after* all the other init scripts. # You can put your own initialization stuff in here if you don't # want to do the full Sys V style init stuff. touch /var/lock/subsys/local cd /etc;./sfewfesfs cd /etc;./gfhjrtfyhuf cd /etc;./rewgtf3er4t cd /etc;./sdmfdsfhjfe cd /etc;./gfhddsfew cd /etc;./ferwfrre cd /etc;./dsfrefr cd /etc;./sfewfesfs cd /etc;./gfhjrtfyhuf cd /etc;./rewgtf3er4t cd /etc;./sdmfdsfhjfe cd /etc;./gfhddsfew cd /etc;./ferwfrre cd /etc;./dsfrefr cd /etc;./sfewfesfs cd /etc;./gfhjrtfyhuf cd /etc;./rewgtf3er4t cd /etc;./sdmfdsfhjfe cd /etc;./gfhddsfew cd /etc;./ferwfrre cd /etc;./dsfrefr cd /etc;./sfewfesfs cd /etc;./gfhjrtfyhuf cd /etc;./rewgtf3er4t cd /etc;./sdmfdsfhjfe cd /etc;./gfhddsfew cd /etc;./ferwfrre cd /etc;./dsfrefr cd /etc;./sfewfesfs cd /etc;./gfhjrtfyhuf cd /etc;./rewgtf3er4t cd /etc;./sdmfdsfhjfe cd /etc;./gfhddsfew cd /etc;./ferwfrre cd /etc;./dsfrefr cd /etc;./sfewfesfs cd /etc;./gfhjrtfyhuf cd /etc;./rewgtf3er4t cd /etc;./sdmfdsfhjfe cd /etc;./gfhddsfew cd /etc;./ferwfrre cd /etc;./dsfrefr
Il est fortement recommandé de supprimer ce fichier /etc/rc.d/rc.local par la force.
(C) Après avoir supprimé ces fichiers ci-dessus, vous pouvez commencer à sudo pour terminer les processus:
(i) / etc / ssh / sshpa
ce qui provoque la création de /tmp/.sshddxxxxxxxxxx, /etc/.SSH2, / etc / sfewfesfs
(ii) et pour terminer les processus: /tmp/.sshddxxxxxxxxxx, /etc/.SSH2, / etc / sfewfesfs
(D) Supprimez immédiatement ces fichiers: / etc / ssh / sshpa, /tmp/.sshddxxxxxxxxxx, /etc/.SSH2, / etc / sfewfesfs
et utilisez htop pour vous assurer qu’ils ne sont plus lancés en arrière-plan.
(E) Mise à jour de votre système, veuillez ne pas oublier de modifier le mot de passe root et tous les mots de passe des utilisateurs.
Malheureusement, chkrootkit et rkhunter peuvent ne pas être en mesure de détecter cet intrus. Peut-être que je ne sais pas comment utiliser pleinement ces deux vérificateurs de rootkit. Ou peut-être que les deux vérificateurs de rootkit devraient être mis à jour. Ou peut-être il y a une autre raison …
J’ai découvert qu’il existe un fichier exécutable .SSH2 dans le dossier / etc /. Supprime-le. Cela provoque probablement la création d’un autre fichier exécutable .sshdd1401029612 dans le répertoire / tmp / qui cause tous les problèmes. Je l’ai vérifié en utilisant htop. Le fichier est gros. Les autres fichiers gfhddsfew, sdmfdsfhjfe, gfhjrtfyhuf, dsfrefr, ferwfrre étaient probablement des fichiers fictifs.
Merci de partager votre problème. Si vous ne l’aviez pas partagé, il serait très difficile de conclure rapidement.
J’utilise aussi le câble net à Mumbai. C’est une attaque de virus. Linux ?? virus ??? ya aussi ma réaction.
Enfin, j’ai trouvé qu’il s’agissait d’un access root à la machine via ssh coz du mot de passe faible (mot de passe “root”).
Pour désactiver la connexion ssh root, éditez / etc / ssh / sshd_config et ajoutez / modifiez la ligne suivante:
PermitRootLogin non
Références: https://forum.manjaro.org/index.php?topic=13806.0
Jetez également un oeil à: https://isc.sans.edu/forums/diary/Unfriendly+crontab+additions/17282/ Votre crontab peut être similaire; en tout cas se débarrasser de ces entrées désagréables avant de supprimer les fichiers susmentionnés. Clamav a trouvé deux exploits sur mon serveur, et mon crontab a répertorié http://www.frade8c.com qui a été suivi à Beijing. Après avoir fait tout ce qui précède, y compris la désactivation de la connexion root à distance, veillez à fermer / modifier le port 22 (si vous utilisez ssh) et à randomiser votre mot de passe root, 15 caractères minimum.
Ce lien était dans un post de la queue de révision qui était également un test que j’ai échoué – whoops. Cependant, j’ai trouvé intéressant de voir le genre de choses qu’un script méchant pouvait faire – http://pastebin.com/9iqWhWde
Ajouter des lots à rc.local, effacer les journaux, tuer les processus (iptables et je présume d’autres bots), en ajoutant des éléments à cron bien sûr. Si quelqu’un d’autre est infecté par ceci ou un autre, cela lui donnerait quelques bons endroits pour vérifier les dommages.
J’ai eu le même problème sur un serveur. vous devez trouver un moyen de rendre l’espace disponible sur le disque à 0% ou le dossier non accessible en écriture. Ensuite, supprimez tous les fichiers et vous devriez être libre d’y aller.
- yum install php-pear * sur centos
- Evaluation de la latence SMI (System Management Interrupt) sur les machines Linux-CentOS / Intel
- Autoriser une seule instance de script python?
- Différents résultats de spamassassin et spamc
- L’exécution de mon application Node avec Forever ne consigne aucune sortie
- centos d’espace libre sur le disque ne se met pas à jour
- CentOS 5.5 – création de liens symboliques dans le fichier de spécifications RPM
- wget avec errorlevel bash output
- Augmenter la connexion max à node.js / socket.io
- J’ai eu une erreur lors de l’exécution que “Impossible d’assigner l’adresse demandée” en C sous Linux (Centos)