miner_dota3

Skapad
2022-12-03
Uppdaterad
2023-11-11
Print lix info about this node
Lix: 15

Skapa ett LäsbarhetsIndeX från text baserat på www.lix.se

Index15
Antal meningar:168
Antal ord843
Top tio ord
(> fyra tecken)		postgres, unix, rsync, rwxrwxrwx, rwxrxrx, rwrr, rwrwr, systemet, användaren, kswapd
    < 30 : Mycket lättläst, barnböcker
 30 - 40 : Lättläst, skönlitteratur, populärtidningar
 40 - 50 : Medelsvår, normal tidningstext
 50 - 60 : Svår, normalt värde för officiella texter
 60 -    : Mycket svår, byråkratsvenska

Verkan

Vad är det som pågår? Processorbelastningen ligger på 100%, webbläsaren fryser, datorn känns lika responsiv som kall honung i uppförsbacke.

Operativsystem

GNU Linux - Ubuntu 20.03.5 LTS

Orsak

Systemet är infekterad av skadlig programvara (eng: malware). För analys av den skadliga programvaran se följande länk YOROI®.

Resultat från sökning på symptom

Ett antal olika webbplatser (kswapd0 in ubuntu slows down the system) rekomenderar att man tar backup - förslagsvis på dokument och data - innan man installerar om hela systemet. Andra har mindre kunskap om vad och hur man bör gå tillväga (CPU 100% with kswapd0 process, although no swap is needed) utan snarare ger mer exemplel på orsak-verkan.

Attack

Attacken sker med hjälp av "brute force" attack gentemot en SSH-server. Som standard är SSH-servern konfigurerad att använda användarnamn och lösenord för att identifiera användaren. Lyckas attackeraren identifiera användarnamnet och lösenordet så har denne tillgång till systemet.

Attackerad

Som man kan se i följande länk så är det användare steam som har blivit "hackad". vårt fall var det användaren postgres som blev attackerad och användes för att komma åt systemet. Alla filer placeras i katalogen /tmp/.X2a1/.rsync/

Nedan följer en lista på de filer som tillhör den skadliga programvaran.

Stoppa applikationen

Notera att detta sätt fungerade på vårt system, det är möjligt att det fungerar på ert också. Notera i fillistan ovan att användaren är postgres.

Vissa steg i processen har inte fungerat fullt ut som {ouz} beskriver men detta är till fördel för oss på grund av att användaren postgres inte har en hemmakatalog. Applikationen försöker göra det mesta för att infektera systemet, om katalogen /tmp/.X2a1 är spärrad för åtkomst så gör den en sekventiell permutation på namnet .X2a1 och försöker på nytt.

Det program som tar mest CPU kraft är kswapd0, övriga program som är aktiva är tsm (tsm32 / tsm64 beroende på processor) samt cron för den aktuella användaren. Det bör även finns en instans av go - se fillistan ovan.

 

Kunskap och Erfarenhet

Mer än 15 års erfarenhet av webb.

Nästan tio års erfarenhet av Drupal.