Назад | Перейти на главную страницу

Вирус запущен пользователем postgres?

Я нашел программу под названием wipefs управляется postgres пользователь. Сервер - это Ubuntu 12.04.

Когда я сделал ps ax|grep wipefs У меня есть:

10209 ? Sl 1:04 /var/tmp/.ICE-unix/-l/.db/wipefs --library-path /var/tmp/.ICE-unix/-l/.db /var/tmp/.ICE-unix/-l/.db/x

Тогда я сделал это:

ls -lah /var/tmp/.ICE-unix/-l/.db/ total 14M drwxr-xr-x 2 postgres postgres 4.0K Jun 11 19:24 . drwxr-xr-x 3 postgres postgres 4.0K Jul 17 21:00 .. -rwxr-xr-x 1 postgres postgres 1.8M Nov 20 2017 libc.so.6 -rwxr-xr-x 1 postgres postgres 2.3M Nov 20 2017 libcrypto.so.1.0.0 -rwxr-xr-x 1 postgres postgres 15K Nov 20 2017 libdl.so.2 -rwxr-xr-x 1 postgres postgres 31K Nov 20 2017 libffi.so.6 -rwxr-xr-x 1 postgres postgres 88K Nov 20 2017 libgcc_s.so.1 -rwxr-xr-x 1 postgres postgres 898K Nov 20 2017 libgcrypt.so.20 -rwxr-xr-x 1 postgres postgres 511K Nov 20 2017 libgmp.so.10 -rwxr-xr-x 1 postgres postgres 1.2M Nov 20 2017 libgnutls.so.30 -rwxr-xr-x 1 postgres postgres 79K Nov 20 2017 libgpg-error.so.0 -rwxr-xr-x 1 postgres postgres 203K Nov 20 2017 libhogweed.so.4 -rwxr-xr-x 1 postgres postgres 232K Nov 20 2017 libhwloc.so.5 -rwxr-xr-x 1 postgres postgres 203K Nov 20 2017 libidn.so.11 -rwxr-xr-x 1 postgres postgres 39K Nov 20 2017 libltdl.so.7 -rwxr-xr-x 1 postgres postgres 1.1M Nov 20 2017 libm.so.6 -rwxr-xr-x 1 postgres postgres 95K Nov 20 2017 libmicrohttpd.so.10 -rwxr-xr-x 1 postgres postgres 215K Nov 20 2017 libnettle.so.6 -rwxr-xr-x 1 postgres postgres 43K Nov 20 2017 libnuma.so.1 -rwxr-xr-x 1 postgres postgres 399K Nov 20 2017 libp11-kit.so.0 -rwxr-xr-x 1 postgres postgres 136K Nov 20 2017 libpthread.so.0 -rwxr-xr-x 1 postgres postgres 77 Jun 11 19:21 libq.so.1 -rwxr-xr-x 1 postgres postgres 31K Nov 20 2017 librt.so.1 -rwxr-xr-x 1 postgres postgres 280 May 15 19:52 libs.so.1 -rwxr-xr-x 1 postgres postgres 419K Nov 20 2017 libssl.so.1.0.0 -rwxr-xr-x 1 postgres postgres 1.5M Nov 20 2017 libstdc++.so.6 -rwxr-xr-x 1 postgres postgres 75K Nov 20 2017 libtasn1.so.6 -rwxr-xr-x 1 postgres postgres 103K Nov 20 2017 libz.so.1 -rwxr-xr-x 1 postgres postgres 159K Nov 20 2017 wipefs -rwxr-xr-x 1 postgres postgres 2.1M Jun 3 15:04 x В других системах, работающих под управлением PostgreSql, каталог /tmp/.ICE-unix пусто.

Это вирус ?.

Это определенно выглядит как вредоносное ПО; но поскольку он, кажется, не присоединяется к другим программам, а вместо этого «живет» как независимый объект, технически он не является вирус но возможно червь.

См. Этот вопрос, чтобы узнать о рекомендуемых дальнейших действиях.

/tmp/.ICE-unix будет обычным каталогом для сокетов UNIX, используемых для связи с диспетчером сеансов графического интерфейса X11. /var/tmp/.ICE-unix не имеет к этому никакого отношения, но явно использует подобное именование, чтобы каталоги вредоносной программы казались неинтересными для случайного внимания.

Тот факт, что он работает как postgres Пользователь предполагает, что он мог проникнуть через механизм базы данных Postgres и в результате унаследовал идентификационные данные пользователя процессов Postgres.

Если имена библиотек являются подлинными, эта вредоносная программа наверняка несет в себе множество реализаций шифрования: libssl и libcrypto OpenSSL, то есть libgnutls, пара libhogweed и libnettle, а также libgcrypt. Он также имеет libmicrohttpd, что предполагает, что на нем может быть запущена какая-то сетевая служба на основе HTTP, возможно, зашифрованная.

Если он потребляет много мощности процессора, но, похоже, мало что делает с какими-либо файлами, я сначала предполагаю, что это майнер монет. Но это всего лишь предположение; это могло быть что-то хуже.

Бегом lsof -p 10209 как root вы можете видеть, какие файлы затрагивает этот процесс и какие сетевые подключения он имеет. Если некоторые файлы помечены как (deleted), вы все равно сможете получить к ним доступ через /proc/10209/fd/ до тех пор, пока файлы остаются открытыми для процесса.

Если вы хотите продолжить расследование, возьмите копию файлов вредоносной программы и просканируйте их с помощью антивирусного сканера.

В любом случае, если у вас есть другие подобные системы, вам следует серьезно подумать об ограничении доступа к ним из Интернета до необходимого минимума и их обновлении. Поддержка Ubuntu 12.04 закончилась в апреле 2017 года, более года назад.

Для этой конкретной системы: вы должны относиться к ней как к зараженной и более небезопасной. Возможно, это единственное вредоносное ПО в системе, но это очень сложно подтвердить: очистка системы и восстановление из резервных копий обычно намного быстрее и проще.