Помогите вылечить вирус.

[Shabr192]

Shabr192,
У меня нет сервера под рукой не пойму, чей это процесс?

Это процесс вируса на выдаче htop (скрины выше) он обзывается как top и имеет еще четыре дочерних процесса

А запускается он из бинарника usr/bin/wkbrmctrvx

Если бинарник удалить и грохнуть процесс создастся новый процесс с другим именем процесса и с другим именем бинарника
процессы этого вируса маскируются под именами распространенных програм такие как top ifconfig и т.п.

Когда процесс в активном состоянии (до того когда я ему делаю SIGSTOP) он создает еще процессы которые через 1-3 секунды убиваются и потом опять новые создаются и так по кругу.

Могу выслать сам бинарник если это что то даст

[victor00000]

да, у меня.

Код: [Выделить]

L~$
L~$ wkbrmctrv
wkbrmctrv: команда не найдена
L~$



[Shabr192]

да, у меня.

Код: [Выделить]

L~$
L~$ wkbrmctrv
wkbrmctrv: команда не найдена
L~$



Да нет такой команды. убиваешь бинарник и процесс создается новый бинарник со случайным набором символов в имени и всегда размером 617640 байт .

[victor00000]

Код: [Выделить]

dpkg -S wkbrmctrv?

[Shabr192]

Код: [Выделить]

dpkg -S wkbrmctrv?

root@server:/usr/bin# dpkg -S wkbrmctrv
dpkg-query: не найден путь, подходящий под шаблон *wkbrmctrv*

[victor00000]

Код: [Выделить]

sudo grep -rs wkbrmctrv /etc?

[Shabr192]

Я вот что думаю может быть заражен какой нибудь демон вредоносным кодом.такое вообще возможно?

как вообще можно проверить демоны и другие программы на оригинальность?

Кстати IPшники на которые конектится вирус американские. Похоже мой сервер пытаются завербовать
Пользователь решил продолжить мысль 12 Марта 2015, 22:48:15:

Код: [Выделить]

sudo grep -rs wkbrmctrv /etc?

root@server:/usr/bin# grep -rs wkbrmctrv /etc
/etc/init.d/wkbrmctrvx:# description: wkbrmctrvx
/etc/init.d/wkbrmctrvx:# Provides:              wkbrmctrvx
/etc/init.d/wkbrmctrvx:# Short-Description:     wkbrmctrvx
/etc/init.d/wkbrmctrvx: /usr/bin/wkbrmctrvx
/etc/init.d/wkbrmctrvx: /usr/bin/wkbrmctrvx

Все это я уже удалял и не раз и в разных вариантах.
Этот тоже пере создается если его удалить

[victor00000]

Shabr192,
тут новости вирус?

Пользователь решил продолжить мысль 12 Марта 2015, 22:53:06:

Код: [Выделить]

sudo update-rc.d -f wkbrmctrvx removeи ребут.

[Shabr192]

Shabr192,
тут новости вирус?

Да я сам поверить не могу. Осталось только вирус на пылесосе найти и тогда можно сказать что я видел все
Пользователь решил продолжить мысль 12 Марта 2015, 23:03:45:

Shabr192,
тут новости вирус?

Пользователь решил продолжить мысль [time]12 Март 2015, 23:53:06[/time]:

Код: [Выделить]

sudo update-rc.d -f wkbrmctrvx removeи ребут.

Не так все просто..
теперь процесс называется gnome-terminal а бинарник  ygnohykuhz

[victor00000]

и там ~/.bashrc

[Shabr192]

и там ~/.bashrc

неа нет там ничего

[victor00000]

Код: [Выделить]

sudo apt-get --reinstall install gnome-terminal

[Shabr192]

Код: [Выделить]

sudo apt-get --reinstall install gnome-terminal

смысл какой в этой команде переустановить gnome-terminal. Дак нечего переустанавливать он у меня и не был установлен и иксов у меня нет.
Внимательно почитай ветку. Вирус маскируется под названия распостронненых программ.
Хочешь сказать когда он в следующий раз под ifconfig закосит (а он это любит) мне переустановить ifconfig?

[Karl500]

Не пробовали бинарник послать на https://www.virustotal.com и на http://www.clamav.net/report/report-malware.html ? Если решите посылать, дайте ссылку на результат, пожалуйста.

[Shabr192]

Не пробовали бинарник послать на https://www.virustotal.com и на http://www.clamav.net/report/report-malware.html ? Если решите посылать, дайте ссылку на результат, пожалуйста.

Нет не пробовал но я обязательно это сделаю. Ссылочку тоже организую.