xm64在Linux Mageia 6中填充我的处理器资源
从今天早上开始,我开始注意到我的Linux/Mageia6运行缓慢 我以root用户身份使用xm64在Linux Mageia 6中填充我的处理器资源,linux,malware,mageia,Linux,Malware,Mageia,从今天早上开始,我开始注意到我的Linux/Mageia6运行缓慢 我以root用户身份使用top命令进行检查,发现名为xm64的进程以invitado用户(西班牙语中的来宾用户)身份运行,占用了我755%的CPU 我杀了好几次那个过程,它突然又开始了。可疑的是,没有人以来宾用户(invitado)的身份登录,计算机的唯一真正用户是我 由于invitado只是我的客人在我家时的一个帐户,所以我决定在再次杀死xm64进程之前删除该用户 删除该用户后,xm64进程再也没有出现 我使用grep-rix
top
命令进行检查,发现名为xm64
的进程以invitado
用户(西班牙语中的来宾用户)身份运行,占用了我755%的CPU
我杀了好几次那个过程,它突然又开始了。可疑的是,没有人以来宾用户(invitado)的身份登录,计算机的唯一真正用户是我
由于invitado
只是我的客人在我家时的一个帐户,所以我决定在再次杀死xm64
进程之前删除该用户
删除该用户后,xm64
进程再也没有出现
我使用grep-rixm64/var/log
在/var/log上搜索xm64信息,但没有找到任何东西
现在我正在安装clamav
和maldetect
以搜索信息
我在谷歌上搜索,没有发现任何与xm64 linux相关的信息,但当我只搜索xm64时,我在WindowsXM64.EXE上找到了有关特洛伊木马病毒的信息
这是我开始使用Linux 25年来第一次怀疑我的Linux机器被感染
我责怪自己,因为我使用字典密码创建了那个来宾用户。。。我保证再也不这样做了
有人能确认我这是Linux上的恶意软件还是另一个问题吗?今天,冷静下来,我找到以下信息:
[root@tarfful etc]# cd /var/
[root@tarfful var]# grep -ri xm64 *
Coincidencia en el fichero binario lib/mlocate/mlocate.db
Coincidencia en el fichero binario local/mga_rpms/core/glibc-devel-2.22-29.mga6.x86_64.rpm
Coincidencia en el fichero binario log/journal/235b4f4f2b94420e852900b7e0210a05/system.journal
log/security/unowned_user.weekly.today:/tmp/.zx/xm64
log/security/unowned_group.weekly.diff:+/tmp/.zx/xm64
log/security/unowned_user.weekly.diff:+/tmp/.zx/xm64
log/security/mail.weekly.today:/tmp/.zx/xm64
log/security/mail.weekly.today:/tmp/.zx/xm64
log/security/unowned_group.weekly.today:/tmp/.zx/xm64
log/security.log:jun 02 04:22:01 tarfful diff: - Added Unknown owner for files : /tmp/.zx/xm64
log/security.log:jun 02 04:22:01 tarfful diff: - Added Unknown group for files : /tmp/.zx/xm64
Coincidencia en el fichero binario log/squid/access.log.1
mail/postfix:/tmp/.zx/xm64
mail/postfix:/tmp/.zx/xm64
mail/postfix:- Added Unknown owner for files : /tmp/.zx/xm64
mail/postfix:- Added Unknown group for files : /tmp/.zx/xm64
spool/mail/postfix:/tmp/.zx/xm64
spool/mail/postfix:/tmp/.zx/xm64
spool/mail/postfix:- Added Unknown owner for files : /tmp/.zx/xm64
spool/mail/postfix:- Added Unknown group for files : /tmp/.zx/xm64
[root@tarfful var]#
现在我有了一个/tmp/.zx/xm64的副本
我把这些信息上传到了
我还输入了/tmp/.zx其他脚本和二进制文件:
[root@tarfful spool]# tree /tmp/.zx/
/tmp/.zx/
├── a
├── cron.d
├── h32
├── h64
├── run
├── update
├── x
├── xm32
└── xm64
当我修改crontab spool时,我发现:
[root@tarfful cron]# cd /var/spool/cron/
[root@tarfful cron]# ls
invitado
[root@tarfful cron]# cat invitado
* * * * * /tmp/.zx/update >/dev/null 2>&1
因此,特洛伊木马每分钟都会运行更新脚本,其中显示:
[root@tarfful spool]# cat /tmp/.zx/update
#!/bin/bash
DIR=$( cd ${0%/*} && pwd )
ps aux | grep ALIENS_z | grep -v grep
if [ $? = 0 ]
then
echo
else
cd $DIR
./run &>/dev/null &
#./run &
fi
exit 0
为了删除特洛伊木马,我作为root用户执行了以下步骤:
ps -xau | grep xm64
kill -9 [PID OF xm64]
rm /var/spool/cron/invitado
rm -rf /tmp/.zx
今天,冷静下来,我发现以下信息:
[root@tarfful etc]# cd /var/
[root@tarfful var]# grep -ri xm64 *
Coincidencia en el fichero binario lib/mlocate/mlocate.db
Coincidencia en el fichero binario local/mga_rpms/core/glibc-devel-2.22-29.mga6.x86_64.rpm
Coincidencia en el fichero binario log/journal/235b4f4f2b94420e852900b7e0210a05/system.journal
log/security/unowned_user.weekly.today:/tmp/.zx/xm64
log/security/unowned_group.weekly.diff:+/tmp/.zx/xm64
log/security/unowned_user.weekly.diff:+/tmp/.zx/xm64
log/security/mail.weekly.today:/tmp/.zx/xm64
log/security/mail.weekly.today:/tmp/.zx/xm64
log/security/unowned_group.weekly.today:/tmp/.zx/xm64
log/security.log:jun 02 04:22:01 tarfful diff: - Added Unknown owner for files : /tmp/.zx/xm64
log/security.log:jun 02 04:22:01 tarfful diff: - Added Unknown group for files : /tmp/.zx/xm64
Coincidencia en el fichero binario log/squid/access.log.1
mail/postfix:/tmp/.zx/xm64
mail/postfix:/tmp/.zx/xm64
mail/postfix:- Added Unknown owner for files : /tmp/.zx/xm64
mail/postfix:- Added Unknown group for files : /tmp/.zx/xm64
spool/mail/postfix:/tmp/.zx/xm64
spool/mail/postfix:/tmp/.zx/xm64
spool/mail/postfix:- Added Unknown owner for files : /tmp/.zx/xm64
spool/mail/postfix:- Added Unknown group for files : /tmp/.zx/xm64
[root@tarfful var]#
现在我有了一个/tmp/.zx/xm64的副本
我把这些信息上传到了
我还输入了/tmp/.zx其他脚本和二进制文件:
[root@tarfful spool]# tree /tmp/.zx/
/tmp/.zx/
├── a
├── cron.d
├── h32
├── h64
├── run
├── update
├── x
├── xm32
└── xm64
当我修改crontab spool时,我发现:
[root@tarfful cron]# cd /var/spool/cron/
[root@tarfful cron]# ls
invitado
[root@tarfful cron]# cat invitado
* * * * * /tmp/.zx/update >/dev/null 2>&1
因此,特洛伊木马每分钟都会运行更新脚本,其中显示:
[root@tarfful spool]# cat /tmp/.zx/update
#!/bin/bash
DIR=$( cd ${0%/*} && pwd )
ps aux | grep ALIENS_z | grep -v grep
if [ $? = 0 ]
then
echo
else
cd $DIR
./run &>/dev/null &
#./run &
fi
exit 0
为了删除特洛伊木马,我作为root用户执行了以下步骤:
ps -xau | grep xm64
kill -9 [PID OF xm64]
rm /var/spool/cron/invitado
rm -rf /tmp/.zx
我有同样的特洛伊木马,它在系统上的两个位置
/tmp
/var/tmp
除了xm64之外,程序“goauto”在top中运行,用于自动启动“dtsm”程序,这似乎是一个挖掘工具,但我不确定
它在/var/spool/cron文件夹中的多个crontab文件中放置了cronjob行,所以一定要检查它们
我做了以下工作:
- 删除了crontab行
- 杀死了“xm64”、“goauto”和所有正在运行的“dtsm”进程
- 删除了/tmp和/var/tmp文件夹中的文件(使用“locate goauto”或“locate xm64”搜索所有位置)
- 将“139.59.28.207”IP添加到IPTABLES中,以便阻止它(一些脚本从该IP中删除)
我现在正在运行clamscan来完成剩余的清理工作(如果有的话),并且必须首先弄清楚它是如何在服务器上结束的。我有相同的特洛伊木马,它位于系统的两个位置
/tmp
/var/tmp
除了xm64之外,程序“goauto”在top中运行,用于自动启动“dtsm”程序,这似乎是一个挖掘工具,但我不确定
它在/var/spool/cron文件夹中的多个crontab文件中放置了cronjob行,所以一定要检查它们
我做了以下工作:
- 删除了crontab行
- 杀死了“xm64”、“goauto”和所有正在运行的“dtsm”进程
- 删除了/tmp和/var/tmp文件夹中的文件(使用“locate goauto”或“locate xm64”搜索所有位置)
- 将“139.59.28.207”IP添加到IPTABLES中,以便阻止它(一些脚本从该IP中删除)
我现在正在运行clamscan来完成剩余的清理工作(如果有的话),并且必须首先弄清楚它是如何在服务器上结束的。从您的系统和进程行为的含义来看,它看起来确实像是同一个病毒。我建议您查看有关如何在Windows上删除它的说明,因为将病毒移植到Linux并不牵强,但它的感染/操作方法没有改变。如果你找到了真正的可执行文件,将其上传到任何病毒检测网站,如果还没有,你会帮助很多人。是的,今天,冷静下来,我用grep xm64/var/log找到了信息。从你系统的含义和进程的行为判断,它看起来确实像是同一个病毒。我建议您查看有关如何在Windows上删除它的说明,因为将病毒移植到Linux并不牵强,但它的感染/操作方法没有改变。如果你找到了真正的可执行文件,将其上传到任何病毒检测网站,如果它还没有出现,你会帮助很多人。是的,今天,冷静下来,我发现grep xm64/var/logI的信息也有同样的问题。即使您rm rf/tmp/.zx,它仍然存在。看看ps-u因维塔多。它仍然运行tsm、xm64和rpc_bind。我已经将病毒存档在一个gz文件中,它们是linux可执行文件。我不知道该怎么办,我也有同样的问题。即使您rm rf/tmp/.zx,它仍然存在。看看ps-u因维塔多。它仍然运行tsm、xm64和rpc_bind。我已经将病毒存档在一个gz文件中,它们是linux可执行文件。我不知道该怎么办。