Помогите вылечить вирус.

[Shabr192]

Прошу помочь с вирусом. уже неделю бьюсь не могу его искоренить. Вылечить это уже дело принципа

Висят три четыре (больше если дать доступ в интернет) процесса обычно под названием ходовых программ (типа top или ifconfig и т.п.)
Загружают проц немного иногда много.
Соединяются на на несколько разных IP в интернете и всегда на порт 2823
Например на этот IP
98.126.66.123:2833
66.102.253.30:2833
Так же были соединения с подобных IP на SSH (лавочку прикрыл, отключил внешний доступ)

Естественно первым делом убивал эти процессы
Через несколько секунд создаются вновь.

Убивал разными способами
сигналом SIGTERM, SIGKILL
так же пробовал SIGSTOP потом находил запускаемые файлы этих процессов find / -size 617640c
потом естественно удалял, потом чистил конфиги со ссылками на эти файлы
и уже убивал процессы - не помогает (все равно происходит перезапуск и создание нового запускаемого файла)

пробовал портить запускаемый файл (редактором портил структуру файла) также изменял права на самые минимальные.
также закрывал доступ на запись от всех пользователей и групп на папку /usr/bin - там обитает вирус (хотел что бы после удаления он не смог создать новый)

Запуск при загрузке
/etc/init.d/wkbrmctrvx

Код: [Выделить]

#!/bin/sh
# chkconfig: 12345 90 90
# description: wkbrmctrvx
### BEGIN INIT INFO
# Provides:             wkbrmctrvx
# Required-Start:
# Required-Stop:
# Default-Start:        1 2 3 4 5
# Default-Stop:
# Short-Description:    wkbrmctrvx
### END INIT INFO
case $1 in
start)
        /usr/bin/wkbrmctrvx
        ;;
stop)
        ;;
*)
        /usr/bin/wkbrmctrvx
        ;;
esac

Временное решение нашел.
Делаю SIGSTOP этим процессам (вирус в таком состоянии не грузит процессор и не пытается соединится)
И закрыл iptaples порт 2823 (на случай если перезагрузится комп а меня рядом не будет)

Как бы конечно есть координальное решение вопроса это переставить систему. Но хочется именно вылечить эту заразу - дело принципа
 
Давайте вместе подумаем, предлагайте варианты что еще можно попробовать - я думаю тут есть ребята которые любят решать нестандартные задачи.

[alsoijw]

Shabr192, если это реальная угроза - запуск с живой флешки и удаление файлов.

[Shabr192]

Так еще не пробовал. Попробую по результатам отпишусь.

Мне кажется есть еще один запускаемый файл но вычислить его не могу. уже на сто рядов выдачу htop пересмотрел вроде бы нет больше лишнего ничего.

Как вообще такое возможно я убиваю вредоносные процессы а они вновь создаются. В винде если вирусные процессы все убить ничего нового не создается. потом чистишь конфиги и все вирусни нету. Но в данном случае не получается так.

Насчет реальности угрозы не знаю. думаю это к какому нибудь ботнету меня подключили.
 

[RUstorm]

а вирус точно здесь /usr/bin
может  ps aux | grep *** что нибуть интересное покажет
locate ***
Пользователь решил продолжить мысль 12 Марта 2015, 20:35:13:в /etc/rc.local чтонибуть есть

[alsoijw]

Shabr192, ещё есть iotop и подобные. Насчёт вируса - всё зависит от умений автора. Можно создать вирус, который будет работать примерно так: создаётся процесс, делает элементарную операцию, создаёт новый, умирает. Его и убить не успеешь.
ЗЫ а как он к тебе пробрался?

[Shabr192]

а вирус точно здесь /usr/bin
может  ps aux | grep *** что нибуть интересное покажет
locate ***
Пользователь решил продолжить мысль [time]12 Март 2015, 21:35:13[/time]:в /etc/rc.local чтонибуть есть

раньше был и в других папках теперь
ps aux | grep *** - не подойдет отбор по названию процесса а имя процесса постоянно меняется

Выдача ps aux

Код: [Выделить]

USER       PID %CPU %MEM    VSZ   RSS TTY      STAT START   TIME COMMAND
root         1  0.0  0.0  33632  2968 ?        Ss   марта12   0:02 /sbin/init
root         2  0.0  0.0      0     0 ?        S    марта12   0:00 [kthreadd]
root         3  0.0  0.0      0     0 ?        S    марта12   0:00 [ksoftirqd/0]
root         5  0.0  0.0      0     0 ?        S<   марта12   0:00 [kworker/0:0H]
root         7  0.0  0.0      0     0 ?        S    марта12   0:01 [rcu_sched]
root         8  0.0  0.0      0     0 ?        S    марта12   0:00 [rcuos/0]
root         9  0.0  0.0      0     0 ?        S    марта12   0:00 [rcuos/1]
root        10  0.0  0.0      0     0 ?        S    марта12   0:00 [rcuos/2]
root        11  0.0  0.0      0     0 ?        S    марта12   0:00 [rcuos/3]
root        12  0.0  0.0      0     0 ?        S    марта12   0:00 [rcu_bh]
root        13  0.0  0.0      0     0 ?        S    марта12   0:00 [rcuob/0]
root        14  0.0  0.0      0     0 ?        S    марта12   0:00 [rcuob/1]
root        15  0.0  0.0      0     0 ?        S    марта12   0:00 [rcuob/2]
root        16  0.0  0.0      0     0 ?        S    марта12   0:00 [rcuob/3]
root        17  0.0  0.0      0     0 ?        S    марта12   0:00 [migration/0]
root        18  0.0  0.0      0     0 ?        S    марта12   0:00 [watchdog/0]
root        19  0.0  0.0      0     0 ?        S    марта12   0:00 [watchdog/1]
root        20  0.0  0.0      0     0 ?        S    марта12   0:01 [migration/1]
root        21  0.0  0.0      0     0 ?        S    марта12   0:00 [ksoftirqd/1]
root        23  0.0  0.0      0     0 ?        S<   марта12   0:00 [kworker/1:0H]
root        24  0.0  0.0      0     0 ?        S    марта12   0:00 [watchdog/2]
root        25  0.0  0.0      0     0 ?        S    марта12   0:00 [migration/2]
root        26  0.0  0.0      0     0 ?        S    марта12   0:00 [ksoftirqd/2]
root        28  0.0  0.0      0     0 ?        S<   марта12   0:00 [kworker/2:0H]
root        29  0.0  0.0      0     0 ?        S    марта12   0:00 [watchdog/3]
root        30  0.0  0.0      0     0 ?        S    марта12   0:00 [migration/3]
root        31  0.0  0.0      0     0 ?        S    марта12   0:00 [ksoftirqd/3]
root        32  0.0  0.0      0     0 ?        S    марта12   0:00 [kworker/3:0]
root        33  0.0  0.0      0     0 ?        S<   марта12   0:00 [kworker/3:0H]
root        34  0.0  0.0      0     0 ?        S<   марта12   0:00 [khelper]
root        35  0.0  0.0      0     0 ?        S    марта12   0:00 [kdevtmpfs]
root        36  0.0  0.0      0     0 ?        S<   марта12   0:00 [netns]
root        37  0.0  0.0      0     0 ?        S<   марта12   0:00 [writeback]
root        38  0.0  0.0      0     0 ?        S<   марта12   0:00 [kintegrityd]
root        39  0.0  0.0      0     0 ?        S<   марта12   0:00 [bioset]
root        41  0.0  0.0      0     0 ?        S<   марта12   0:00 [kblockd]
root        42  0.0  0.0      0     0 ?        S<   марта12   0:00 [ata_sff]
root        43  0.0  0.0      0     0 ?        S    марта12   0:00 [khubd]
root        44  0.0  0.0      0     0 ?        S<   марта12   0:00 [md]
root        45  0.0  0.0      0     0 ?        S<   марта12   0:00 [devfreq_wq]
root        46  0.0  0.0      0     0 ?        S    марта12   0:00 [kworker/0:1]
root        48  0.0  0.0      0     0 ?        S    марта12   0:00 [khungtaskd]
root        49  0.0  0.0      0     0 ?        S    марта12   0:00 [kswapd0]
root        50  0.4  0.0      0     0 ?        SN   марта12   0:42 [ksmd]
root        51  0.0  0.0      0     0 ?        SN   марта12   0:00 [khugepaged]
root        52  0.0  0.0      0     0 ?        S    марта12   0:00 [fsnotify_mark]
root        53  0.0  0.0      0     0 ?        S    марта12   0:00 [ecryptfs-kthrea]
root        54  0.0  0.0      0     0 ?        S<   марта12   0:00 [crypto]
root        66  0.0  0.0      0     0 ?        S<   марта12   0:00 [kthrotld]
root        68  0.0  0.0      0     0 ?        S    марта12   0:00 [kworker/2:1]
root        69  0.0  0.0      0     0 ?        S    марта12   0:01 [kworker/0:2]
root        70  0.0  0.0      0     0 ?        S    марта12   0:00 [kworker/u8:2]
root        89  0.0  0.0      0     0 ?        S<   марта12   0:00 [deferwq]
root        90  0.0  0.0      0     0 ?        S<   марта12   0:00 [charger_manager]
root        91  0.0  0.0      0     0 ?        S    марта12   0:00 [kworker/1:1]
root       100  0.0  0.0      0     0 ?        S    марта12   0:01 [kworker/3:1]
root       144  0.0  0.0      0     0 ?        S<   марта12   0:00 [kpsmoused]
root       171  0.0  0.0      0     0 ?        S    марта12   0:00 [scsi_eh_0]
root       172  0.0  0.0      0     0 ?        S    марта12   0:00 [scsi_eh_1]
root       173  0.0  0.0      0     0 ?        S    марта12   0:00 [scsi_eh_2]
root       174  0.0  0.0      0     0 ?        S    марта12   0:00 [scsi_eh_3]
root       175  0.0  0.0      0     0 ?        S    марта12   0:00 [scsi_eh_4]
root       176  0.0  0.0      0     0 ?        S    марта12   0:00 [scsi_eh_5]
root       191  0.0  0.0      0     0 ?        S    марта12   0:01 [kworker/1:2]
root       259  0.0  0.0      0     0 ?        S<   марта12   0:00 [raid5wq]
root       286  0.0  0.0      0     0 ?        S<   марта12   0:00 [kdmflush]
root       290  0.0  0.0      0     0 ?        S<   марта12   0:00 [kdmflush]
root       304  0.0  0.0      0     0 ?        S<   марта12   0:00 [bioset]
root       305  0.0  0.0      0     0 ?        S<   марта12   0:00 [bioset]
root       317  0.0  0.0      0     0 ?        S<   марта12   0:00 [kdmflush]
root       392  0.0  0.0      0     0 ?        S    марта12   0:00 [jbd2/dm-1-8]
root       393  0.0  0.0      0     0 ?        S<   марта12   0:00 [ext4-rsv-conver]
root       574  0.0  0.0  19604   920 ?        S    марта12   0:00 upstart-udev-bridge --daemon
root       581  0.0  0.0  51204  1544 ?        Ss   марта12   0:00 /lib/systemd/systemd-udevd --daemon
root       637  0.0  0.0      0     0 ?        S    марта12   0:00 [irq/44-mei_me]
root       689  0.0  0.0      0     0 ?        S    марта12   0:00 [jbd2/dm-2-8]
root       718  0.0  0.0      0     0 ?        S<   марта12   0:00 [ext4-rsv-conver]
root       746  0.0  0.0      0     0 ?        S<   марта12   0:00 [kmpathd]
root       754  0.0  0.0      0     0 ?        S<   марта12   0:00 [kmpath_handlerd]
root       781  0.0  0.0      0     0 ?        S<   марта12   0:00 [kvm-irqfd-clean]
message+   917  0.0  0.0  39228  1324 ?        Ss   марта12   0:00 dbus-daemon --system --fork
syslog    1000  0.0  0.0 255840  2128 ?        Ssl  марта12   0:00 rsyslogd
root      1018  0.0  0.0  43448  1840 ?        Ss   марта12   0:00 /lib/systemd/systemd-logind
root      1026  0.0  0.0 273536  7852 ?        Ss   марта12   0:00 smbd -F
root      1034  0.0  0.0 231348  5872 ?        Ss   марта12   0:00 /usr/sbin/winbindd -F
root      1055  0.0  0.0      0     0 ?        S<   марта12   0:00 [bioset]
root      1120  0.0  0.0 191444  2872 ?        Ss   марта12   0:00 nmbd -D
root      1123  0.0  0.0 237208  4536 ?        S    марта12   0:00 /usr/sbin/winbindd -F
root      1194  0.0  0.0  15800  1116 ?        S    марта12   0:00 upstart-file-bridge --daemon
root      1197  0.0  0.0  15520   908 ?        S    марта12   0:00 upstart-socket-bridge --daemon
root      1245  0.0  0.0 231348  3648 ?        S    марта12   0:00 /usr/sbin/winbindd -F
root      1246  0.0  0.0 231348  3080 ?        S    марта12   0:00 /usr/sbin/winbindd -F
root      1251  0.0  0.0 273544  3220 ?        S    марта12   0:00 smbd -F
root      1509  0.0  0.0  34844  1524 ?        S    марта12   0:00 /usr/sbin/pppd call dsl-provider
root      1815  0.0  0.0  17036   960 tty4     Ss+  марта12   0:00 /sbin/getty -8 38400 tty4
root      1818  0.0  0.0  17036   960 tty5     Ss+  марта12   0:00 /sbin/getty -8 38400 tty5
root      1824  0.0  0.0  17036   956 tty2     Ss+  марта12   0:00 /sbin/getty -8 38400 tty2
root      1825  0.0  0.0  17036   960 tty3     Ss+  марта12   0:00 /sbin/getty -8 38400 tty3
root      1828  0.0  0.0  17036   948 tty6     Ss+  марта12   0:00 /sbin/getty -8 38400 tty6
root      1862  0.0  0.0  61360  3044 ?        Ss   марта12   0:00 /usr/sbin/sshd -D
root      1878  0.0  0.0   4364   672 ?        Ss   марта12   0:00 acpid -c /etc/acpi/events -s /var/run/acpid.socket
root      1880  0.0  0.0  23652  1060 ?        Ss   марта12   0:00 cron
daemon    1881  0.0  0.0  19136   168 ?        Ss   марта12   0:00 atd
bind      1899  0.0  0.0 389780 18692 ?        Ssl  марта12   0:00 /usr/sbin/named -u bind
root      1908  0.0  0.0  19184   760 ?        Ss   марта12   0:00 /usr/sbin/irqbalance
root      1927  0.0  0.0 372580 12612 ?        Sl   марта12   0:00 /usr/sbin/libvirtd -d
mysql     1971  0.0  0.5 1092796 113544 ?      Ssl  марта12   0:03 /usr/sbin/mysqld
clamav    2086  0.0  0.0  58800  2880 ?        Ss   марта12   0:07 /usr/bin/freshclam -d --quiet
root      2121  0.0  0.0  13272   628 ?        Ss   марта12   0:00 /sbin/mdadm --monitor --pid-file /run/mdadm/monitor.pid --daemonise --scan --syslog
[color=red]root      2175  1.6  0.0  33756   464 ?        Tsl  марта12   2:19 top[/color]
libvirt+  2350  0.0  0.0  28204   988 ?        S    марта12   0:00 /usr/sbin/dnsmasq --conf-file=/var/lib/libvirt/dnsmasq/default.conf
root      2361  0.0  0.0      0     0 ?        S    марта12   0:00 [kauditd]
libvirt+  2393 51.3 30.1 11720188 6158280 ?    Sl   марта12  72:38 qemu-system-x86_64 -enable-kvm -name vsrv2 -S -machine pc-i440fx-trusty,accel=kvm,usb=off -cpu SandyBridge,+osxsave,+pcid,+pdcm,+xtpr,+tm2,+est,+smx,+vmx,+ds_cpl,+mo
root      2395  0.0  0.0      0     0 ?        S    марта12   0:00 [vhost-2393]
root      2401  0.0  0.0      0     0 ?        S    марта12   0:00 [kvm-pit/2393]
root      2435  0.0  0.1  89064 25408 ?        Ss   марта12   0:00 /usr/bin/perl /usr/share/webmin/miniserv.pl /etc/webmin/miniserv.conf
root      2444  0.0  0.0  17036   960 tty1     Ss+  марта12   0:00 /sbin/getty -8 38400 tty1
root      3850  0.0  0.0 269168  8268 ?        Ss   марта12   0:00 sshd: root@pts/1
root      3913  0.0  0.0  23740  3672 pts/1    Ss   марта12   0:00 -bash
root     13000  0.0  0.0      0     0 ?        S<   марта12   0:00 [xfsalloc]
root     13002  0.0  0.0      0     0 ?        S<   марта12   0:00 [xfs_mru_cache]
root     13004  0.0  0.0      0     0 ?        S<   марта12   0:00 [xfslogd]
root     13008  0.0  0.0      0     0 ?        S    марта12   0:00 [jfsIO]
root     13009  0.0  0.0      0     0 ?        S    марта12   0:00 [jfsCommit]
root     13010  0.0  0.0      0     0 ?        S    марта12   0:00 [jfsCommit]
root     13011  0.0  0.0      0     0 ?        S    марта12   0:00 [jfsCommit]
root     13012  0.0  0.0      0     0 ?        S    марта12   0:00 [jfsCommit]
root     13013  0.0  0.0      0     0 ?        S    марта12   0:00 [jfsSync]
root     13033  0.0  0.0      0     0 ?        S<   марта12   0:00 [bioset]
root     14062  0.0  0.1 564240 26056 ?        Ss   марта12   0:00 /usr/sbin/apache2 -k start
www-data 14066  0.0  0.0 564320 10512 ?        S    марта12   0:00 /usr/sbin/apache2 -k start
www-data 14067  0.0  0.2 576052 45264 ?        S    марта12   0:00 /usr/sbin/apache2 -k start
www-data 14068  0.0  0.0 564272  9784 ?        S    марта12   0:00 /usr/sbin/apache2 -k start
www-data 14069  0.0  0.0 564272  9784 ?        S    марта12   0:00 /usr/sbin/apache2 -k start
www-data 14070  0.0  0.0 564272  9784 ?        S    марта12   0:00 /usr/sbin/apache2 -k start
root     22951  0.0  0.0  53780  5100 pts/1    S+   марта12   0:02 mc
root     22953  0.0  0.0  22404  2328 pts/2    Ss   марта12   0:00 bash -rcfile .bashrc
www-data 29082  0.0  0.0 564272  9784 ?        S    марта12   0:00 /usr/sbin/apache2 -k start
root     29189  0.0  0.0 269172  8220 ?        Ss   марта12   0:00 sshd: root@pts/3
root     29208  0.0  0.0      0     0 ?        R    марта12   0:00 [kworker/2:2]
root     29281  0.0  0.0  23740  3548 pts/3    Ss   марта12   0:00 -bash
root     29305  0.0  0.0  53584  4824 pts/3    S+   марта12   0:00 mc
root     29307  0.0  0.0  22372  2224 pts/4    Ss+  марта12   0:00 bash -rcfile .bashrc
root     29324  0.0  0.0      0     0 ?        S    марта12   0:00 [kworker/u8:0]
root     29325  0.0  0.0      0     0 ?        S<   марта12   0:00 [kworker/u9:0]
root     29461  0.0  0.0      0     0 ?        S<   марта12   0:00 [kworker/u9:2]
root     30435  0.0  0.0  19672  1324 pts/2    R+   00:43   0:00 ps aux

в /etc/rc.local - Пусто

[victor00000]

Код: [Выделить]

root     29189  0.0  0.0 269172  8220 ?        Ss   марта12   0:00 sshd: root@pts/3

вот это, нужно менять пароль от root.

[alsoijw]

Первое: как он пробрался?

[Shabr192]

Shabr192, ещё есть iotop и подобные. Насчёт вируса - всё зависит от умений автора. Можно создать вирус, который будет работать примерно так: создаётся процесс, делает элементарную операцию, создаёт новый, умирает. Его и убить не успеешь.
ЗЫ а как он к тебе пробрался?

Автор похоже умелый ну или я сильно не умелый
Такие вирусы в винде успешно лечил. просто права доступа отменял на запускаемые экзешники и  на ребут.

От куда взялся.
Сайт в декабре пробовал делать качал всякие шаблоны соответственно скорее всего от туда.
Вообще у меня сначала ложился интернет в офисе. несколько дней грешил на провайдера потом когда с ними разобрались. было выяснено что роутер подвисает. еще через некоторое время я выяснил что когда отключаешь инет на сервере роутер перестает виснуть. еще через какое то время обнаружил подозрительные процессы. Короче по моим оценкам вирус живет с ноября декабря 2014

Пользователь решил продолжить мысль 12 Марта 2015, 21:09:02:

Код: [Выделить]

root     29189  0.0  0.0 269172  8220 ?        Ss   марта12   0:00 sshd: root@pts/3

вот это, нужно менять пароль от root.

Когда закрыл доступ из вне по SSH сразу же поменял все пароли.

[alsoijw]

Shabr192, просто так к тебе он не проберётся. Что от рута делал?

[Shabr192]

Выдача htop (в текстовик не знаю как сделать)

на первом скрине процесс top PID 2175
Сейчас этот процесс и его потомки в режиме SIGSTOP
Пользователь решил продолжить мысль [time]12 Март 2015, 22:30:46[/time]:

Shabr192, просто так к тебе он не проберётся. Что от рута делал?

закидывал инсталлировал от рута joomla и Prestashop скачанные с офф сайтов. потом менял права на паку с сайтом на пользователя www-data b группу www-data а уж потом разные шаблоны ставил через веб интерфейсы данных смс
Пользователь решил продолжить мысль [time]12 Март 2015, 22:31:54[/time]:скриншоты что сюда никак не отправишь?
Пользователь решил продолжить мысль 12 Марта 2015, 21:34:45:Выдача htop (в текстовик не знаю как сделать)

на первом скрине процесс top PID 2175
Сейчас этот процесс и его потомки в режиме SIGSTOP

[zaskock]

Shabr192,
По PID процессу и определите какой скрипт и откуда выполняется

Код: [Выделить]

lsof

[alsoijw]

Shabr192, почитай правила, там про скрины говорится.

[Shabr192]

root@server:~# lsof -p 2175
COMMAND    PID USER   FD   TYPE DEVICE SIZE/OFF    NODE NAME
wkbrmctrv 2175 root  cwd    DIR  252,1     4096       2 /
wkbrmctrv 2175 root  rtd    DIR  252,1     4096       2 /
wkbrmctrv 2175 root  txt    REG  252,1   617640 3418765 /usr/bin/wkbrmctrvx
wkbrmctrv 2175 root    0u   CHR    1,3      0t0    1031 /dev/null
wkbrmctrv 2175 root    1u   CHR    1,3      0t0    1031 /dev/null
wkbrmctrv 2175 root    2u   CHR    1,3      0t0    1031 /dev/null
wkbrmctrv 2175 root    3u  sock    0,7      0t0   56036 can't identify protocol
wkbrmctrv 2175 root    4r   DIR    0,3        0       1 /proc
wkbrmctrv 2175 root    5r   REG  252,1  1021112 5505177 /bin/bash

[zaskock]

Shabr192,
У меня нет сервера под рукой не пойму, чей это процесс?