Hacker chiếm quyền root Ubuntu 18.04

[TL2]

Nội dung

• Máy ubuntu 18.4 bị tấn công.
• Chiếm quyền ssh.
• Chạy process lạ chiếm hết 50% CPU của máy.
• Truy xuất và bị tấn công từ một số địa chỉ IP lạ.
• Địa chỉ nằm trong file script tấn coong: 69.28.55.86:443, 185.71.65.238, 140.82.52.87, 119.9.76.107.
• Đây là các địa chỉ bị UFW chặn sau khi bị phát hiện 223.71.167.165, 185.246.87.232, 45.189.24.238, 61.136.101.84, 40.89.172.2, 5.45.65.236, 94.102.51.28

Phía dưới là folder chứa mã script và chương trình tấn công mình tìm được trong máy.
Ace giúp mình tìm hiểu nguyên nhân và cách giải quyết.

Thanks

 

Script đào tiền ảo nhé bạn. Thường thì bị khai thác qua các dịch vụ như docker... máy bạn server ak bạn

 

Script đào tiền ảo nhé bạn. Thường thì bị khai thác qua các dịch vụ như docker... máy bạn server ak bạn

Cảm ơn bạn.

Đúng rồi bạn, máy chạy server, Ubuntu 18.04, 20.04.

Sau tình trạng của file như trên, hiện tại mình cũng dính thêm một trường hợp có vẻ tương tự (có keywork là tracker, miner, etc.)
Nhờ bạn check kiểm tra giúp.

Như bạn nói nó có thể tấn công qua docker, tuy nhiên chỉ có 1 máy dùng docker, nhưng có máy không dùng docker mà cũng bị dính. Vậy ngoài docker ra, nó còn lây nhiễm theo đường nào khác nữa không?

Đính kèm file mới phát hiện.

Cảm ơn mọi người.

 

Cảm ơn bạn.

Đúng rồi bạn, máy chạy server, Ubuntu 18.04, 20.04.

Sau tình trạng của file như trên, hiện tại mình cũng dính thêm một trường hợp có vẻ tương tự (có keywork là tracker, miner, etc.)
Nhờ bạn check kiểm tra giúp.

Như bạn nói nó có thể tấn công qua docker, tuy nhiên chỉ có 1 máy dùng docker, nhưng có máy không dùng docker mà cũng bị dính. Vậy ngoài docker ra, nó còn lây nhiễm theo đường nào khác nữa không?

Đính kèm file mới phát hiện.

Cảm ơn mọi người.

Ngoài docker ra thì con liferay. Mình thường giải quyết theo phương pháp: Update các phần mềm mới nhất, cấu hình firewall chỉ cho phép các cổng mình sử dụng, ngoài ra sẽ chặn tất