Wciąż pojawiają się oferty pracy w jaz-cronie i nie mam pojęcia, co robią. Zazwyczaj wysyłam kill -9, aby je zatrzymać. Zajmują 100% mojego procesora i mogą działać przez kilka dni, dopóki nie sprawdzę. Czy ktokolwiek wie, co to znaczy?
sudo crontab -l
0 0 */3 * * /root/.firefoxcatche/a/upd>/dev/null 2>&1
@reboot /root/.firefoxcatche/a/upd>/dev/null 2>&1
5 8 * * 0 /root/.firefoxcatche/b/sync>/dev/null 2>&1
@reboot /root/.firefoxcatche/b/sync>/dev/null 2>&1
#5 1 * * * /tmp/.X13-unix/.rsync/c/aptitude>/dev/null 2>&1
Używam serwer Ubuntu 18 LTS w pełni aktualny od wczoraj 24.07.2019
AKTUALIZACJA
Doceniam wszystkie opinie. Odłączyłem wszystkie dyski danych i aplikacji, ponieważ jedyną rzeczą, na którą to wpłynęło, był dysk systemu operacyjnego, przynajmniej zrobiłem coś takiego poprawnie. Idę z całkowitą przebudową, z dużo większym bezpieczeństwem i bezpieczniejszymi metodami.
.firefoxcatche
prawdopodobnie nie ma nic wspólnego z firefox - czy to może być górnik bitcoinów? Spróbuj załadować pliki wykonywalne do virustotal./root/.firefoxcatche/a/upd
i/root/.firefoxcatche/b/sync
sudo crontab -e
edycja nie działa? Ale jeśli jest to kryptomer, którego nie zainstalowałeś ... zostaną one ponownie dodane. Pierwsze spojrzenie w „/root/.firefoxcatche/a/upd”, co robi.Odpowiedzi:
Twoja maszyna najprawdopodobniej ma infekcję kryptograficzną. Możesz zobaczyć kogoś innego zgłaszającego podobne nazwy plików i zachowanie podczas wykrywania maszyny wirtualnej w czasie rzeczywistym na platformie Azure za pomocą Centrum zabezpieczeń . Zobacz także Mój serwer Ubuntu ma wirusa ... Znalazłem go, ale nie mogę się go pozbyć ... na Reddit.
Nie możesz już ufać temu komputerowi i powinieneś go ponownie zainstalować. Zachowaj ostrożność podczas przywracania kopii zapasowych.
źródło
Twoja maszyna została zainfekowana atakiem kryptowalut. W przeszłości miałem także do czynienia z podobnym atakiem ransomware i moja baza danych została naruszona. Zrobiłem zrzut SQL dla komputera i ponownie go skonfigurowałem (ponieważ mój komputer był maszyną wirtualną hostowaną na AWS EC2). Zmodyfikowałem również grupy zabezpieczeń komputera, aby zablokować dostęp SSH i zmodyfikowałem hasła. Włączyłem także rejestrowanie, aby rejestrować zapytania i eksportować je do S3 każdej nocy.
źródło
To samo przytrafiło mi się i zauważyłem wczoraj. Sprawdziłem plik
/var/log/syslog
i ten adres IP (185.234.218.40) wydawał się automatycznie wykonywać cronjobs.Sprawdziłem to na http://whatismyipaddress.com ( https://whatismyipaddress.com/ip/185.234.218.40 ) i ma kilka raportów. Te pliki były edytowane przez trojana:
Znalazłem to na końcu
.bashrc
(które jest wykonywane przy każdym otwarciu bash):Usuwa twój
authorized_keys
plik, który jest listą kluczy SSH, które mogą łączyć się bez hasła. Następnie dodaje klucz SSH atakującego:Ponadto znalazłem ten folder:, w
/tmp/.X13-unix/.rsync
którym znajduje się całe złośliwe oprogramowanie. Znalazłem nawet/tmp/.X13-unix/.rsync/c/ip
plik zawierający 70 000 adresów IP, które najprawdopodobniej są innymi ofiarami lub serwerami węzłów.Istnieją 2 rozwiązania: A:
Dodaj zaporę blokującą wszystkie połączenia wychodzące z wyjątkiem portu 22 i innych, które uważasz za niezbędne, i włącz fail2ban, program, który blokuje adres IP po X nieudanych próbach podania hasła
Zabij wszystkie zadania crona:,
ps aux | grep cron
a następnie zabij PID, który się pojawiZmień hasło na bezpieczne
B:
Utwórz kopię zapasową dowolnych plików lub folderów, których potrzebujesz lub chcesz
Zresetuj serwer i zainstaluj ponownie Ubuntu lub bezpośrednio utwórz nową kroplę
Jak powiedział Thom Wiggers, z pewnością jesteś częścią botnetu wydobywającego bitcoiny, a twój serwer ma backdoor . Backdoor wykorzystuje exploita perla, znajdujący się tutaj plik:
/tmp/.X13-unix/.rsync/b/run
zawierający ten ( https://pastebin.com/ceP2jsUy )Najbardziej podejrzane foldery, które znalazłem, to:
/tmp/.X13-unix/.rsync
~/.bashrc
(który był edytowany)~/.firefoxcatche
Na koniec jest artykuł dotyczący Perla Backdoor: https://blog.trendmicro.com/trendlabs-security-intelligence/outlaw-hacking-groups-botnet-observed-spreading-miner-perl-based-backdoor/
Mam nadzieję, że uznasz to za przydatne.
źródło
~/.bashrc
zostało edytowane. Stwierdziłem, że aby zabić fałszywkęrsync
, musiałem wydaćkill -9 <pid>
.