เมื่อเร็ว ๆ นี้ฉันสังเกตเห็นเซิร์ฟเวอร์ภายในบ้านของฉันทำงานช้าลงอย่างเจ็บปวด ทรัพยากรทั้งหมดที่ถูกกินโดยกระบวนการที่สอง: และcrond64
tsm
แม้ว่าฉันจะฆ่าพวกเขาซ้ำ ๆ พวกเขาก็ยังคงปรากฏตัวต่อไปเรื่อย ๆ
ในขณะเดียวกัน ISP ของฉันก็แจ้งให้ฉันทราบเกี่ยวกับการละเมิดที่มาจากที่อยู่ IP ของฉัน:
==================== Excerpt from log for 178.22.105.xxx====================
Note: Local timezone is +0100 (CET)
Jan 28 20:55:44 shared06 sshd[26722]: Invalid user admin from 178.22.105.xxx
Jan 28 20:55:44 shared06 sshd[26722]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=178.22.105.xxx
Jan 28 20:55:45 shared06 sshd[26722]: Failed password for invalid user admin from 178.22.105.xxx port 33532 ssh2
Jan 28 20:55:46 shared06 sshd[26722]: Received disconnect from 178.22.105.xxx port 33532:11: Bye Bye [preauth]
Jan 28 20:55:46 shared06 sshd[26722]: Disconnected from 178.22.105.xxx port 33532 [preauth]
Jan 28 21:12:05 shared06 sshd[30920]: Invalid user odm from 178.22.105.xxx
Jan 28 21:12:05 shared06 sshd[30920]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=178.22.105.xxx
Jan 28 21:12:07 shared06 sshd[30920]: Failed password for invalid user odm from 178.22.105.xxx port 45114 ssh2
Jan 28 21:12:07 shared06 sshd[30920]: Received disconnect from 178.22.105.xxx port 45114:11: Bye Bye [preauth]
Jan 28 21:12:07 shared06 sshd[30920]: Disconnected from 178.22.105.xxx port 45114 [preauth]
ฉันถูกปลายโดยเว็บไซต์นี้ว่าฉันอาจมีไวรัส ผมทำงาน Sophos AV /tmp/.mountfs/.rsync
สแกนฮาร์ดไดรฟ์ทั้งหมดของฉันและแน่นอนมันพบไวรัสบางส่วนใน ดังนั้นฉันจึงลบทั้งโฟลเดอร์และคิดว่ามันเป็นอย่างนั้น แต่มันกลับมาหลังจากนั้น จากนั้นฉันตรวจสอบไฟล์ cron ของผู้ใช้ใน/var/spool/cron/crontabs/kodi
(ไวรัสกำลังทำงานโดยใช้ผู้ใช้เซิร์ฟเวอร์สื่อ kodi ของฉัน) ซึ่งมีลักษณะดังนี้:
# DO NOT EDIT THIS FILE - edit the master and reinstall.
# (cron.d installed on Sun Feb 3 21:52:03 2019)
# (Cron version -- $Id: crontab.c,v 2.13 1994/01/17 03:20:37 vixie Exp $)
* */12 * * * /home/kodi/.ttp/a/upd>/dev/null 2>&1
@reboot /home/kodi/.ttp/a/upd>/dev/null 2>&1
5 8 * * 0 /home/kodi/.ttp/b/sync>/dev/null 2>&1
@reboot /home/kodi/.ttp/b/sync>/dev/null 2>&1
#5 1 * * * /tmp/.mountfs/.rsync/c/aptitude>/dev/null 2>&1
ดูเหมือนว่าไวรัสจะเปิดใช้งานตัวเองทุกครั้งจากไดเรกทอรีอื่น เนื้อหาของไดเรกทอรีนั้นคือ:
>>> ls /home/kodi/.ttp/*
/home/kodi/.ttp/cron.d /home/kodi/.ttp/dir2.dir
/home/kodi/.ttp/a:
a bash.pid config.txt crond32 crond64 cronda crondb dir.dir pools.txt run stop upd
/home/kodi/.ttp/b:
a dir.dir rsync run stop sync
/home/kodi/.ttp/c:
aptitude dir.dir go ip lib n p run slow start stop tsm tsm32 tsm64 v watchdog
ฉันลบไฟล์เหล่านี้ทั้งหมดและรายการใน crontab และหวังว่าสิ่งนี้จะแก้ปัญหาได้ อย่างไรก็ตามฉันจะสนใจว่าไวรัสตัวนี้เป็นอย่างไรฉันจะจับได้อย่างไร (มันอาจเชื่อมต่อกับ Kodi) และสิ่งที่ฉันสามารถทำได้เพื่อป้องกันมัน โชคดีที่มันทำงานจากผู้ใช้ที่มีสิทธิ์ จำกัด แต่ก็ยังน่ารำคาญที่จะจัดการกับ
แก้ไข
แม้ว่าฉันดูเหมือนจะลบไวรัสนี้ทั้งหมด (ฉันยังลบโฟลเดอร์ tmp ทั้งหมด) แต่ไวรัสก็กลับมา ฉันตระหนักว่ามีรายการใน~/.ssh/authorized_hosts
ซึ่งแน่นอนฉันไม่ได้ใส่ตัวเอง สิ่งนี้จะอธิบายถึงวิธีการที่ไวรัสจะถูกนำมาใช้ซ้ำ ๆ ฉันลบรายการเข้าสู่ระบบที่ปิดใช้งานสำหรับผู้ใช้นั้นเข้าสู่ระบบรหัสผ่านที่ถูกปิดใช้งาน (รหัสผ่านเท่านั้น) และใช้พอร์ตที่ไม่ได้มาตรฐานตอนนี้
ฉันยังสังเกตเห็นความพยายามในการเข้าสู่ระบบซ้ำ ๆ บนเซิร์ฟเวอร์ของฉันด้วยชื่อผู้ใช้แบบสุ่มซึ่งอาจเป็นบ็อตบางประเภท (บันทึกดูคล้ายกับที่เปิดตัวจาก IP ของฉันอย่างน่าประหลาดใจ ฉันเดาว่าเป็นวิธีที่คอมพิวเตอร์ของฉันติดเชื้อในตอนแรก
cd ~ && rm -rf .ssh && mkdir .ssh && echo "ssh-rsa AAAAB... ...VKPRK+oRw== mdrfckr">>.ssh/authorized_keys && chmod 700 .ssh && cd .ssh && chmod 600 authorized_keys && cd ~
. bashrc ของผู้ใช้: ฉันเพิ่งcp /etc/skel/.bashrc /home/mycompromiseduser/
ลบออกไป