ไวรัส crond64 / tsm ใน Ubuntu


14

เมื่อเร็ว ๆ นี้ฉันสังเกตเห็นเซิร์ฟเวอร์ภายในบ้านของฉันทำงานช้าลงอย่างเจ็บปวด ทรัพยากรทั้งหมดที่ถูกกินโดยกระบวนการที่สอง: และcrond64 tsmแม้ว่าฉันจะฆ่าพวกเขาซ้ำ ๆ พวกเขาก็ยังคงปรากฏตัวต่อไปเรื่อย ๆ

ในขณะเดียวกัน ISP ของฉันก็แจ้งให้ฉันทราบเกี่ยวกับการละเมิดที่มาจากที่อยู่ IP ของฉัน:

==================== Excerpt from log for 178.22.105.xxx====================
Note: Local timezone is +0100 (CET)
Jan 28 20:55:44 shared06 sshd[26722]: Invalid user admin from 178.22.105.xxx
Jan 28 20:55:44 shared06 sshd[26722]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=178.22.105.xxx
Jan 28 20:55:45 shared06 sshd[26722]: Failed password for invalid user admin from 178.22.105.xxx port 33532 ssh2
Jan 28 20:55:46 shared06 sshd[26722]: Received disconnect from 178.22.105.xxx port 33532:11: Bye Bye [preauth]
Jan 28 20:55:46 shared06 sshd[26722]: Disconnected from 178.22.105.xxx port 33532 [preauth]
Jan 28 21:12:05 shared06 sshd[30920]: Invalid user odm from 178.22.105.xxx
Jan 28 21:12:05 shared06 sshd[30920]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=178.22.105.xxx
Jan 28 21:12:07 shared06 sshd[30920]: Failed password for invalid user odm from 178.22.105.xxx port 45114 ssh2
Jan 28 21:12:07 shared06 sshd[30920]: Received disconnect from 178.22.105.xxx port 45114:11: Bye Bye [preauth]
Jan 28 21:12:07 shared06 sshd[30920]: Disconnected from 178.22.105.xxx port 45114 [preauth]

ฉันถูกปลายโดยเว็บไซต์นี้ว่าฉันอาจมีไวรัส ผมทำงาน Sophos AV /tmp/.mountfs/.rsyncสแกนฮาร์ดไดรฟ์ทั้งหมดของฉันและแน่นอนมันพบไวรัสบางส่วนใน ดังนั้นฉันจึงลบทั้งโฟลเดอร์และคิดว่ามันเป็นอย่างนั้น แต่มันกลับมาหลังจากนั้น จากนั้นฉันตรวจสอบไฟล์ cron ของผู้ใช้ใน/var/spool/cron/crontabs/kodi(ไวรัสกำลังทำงานโดยใช้ผู้ใช้เซิร์ฟเวอร์สื่อ kodi ของฉัน) ซึ่งมีลักษณะดังนี้:

# DO NOT EDIT THIS FILE - edit the master and reinstall.
# (cron.d installed on Sun Feb  3 21:52:03 2019)
# (Cron version -- $Id: crontab.c,v 2.13 1994/01/17 03:20:37 vixie Exp $)
* */12 * * * /home/kodi/.ttp/a/upd>/dev/null 2>&1
@reboot /home/kodi/.ttp/a/upd>/dev/null 2>&1
5 8 * * 0 /home/kodi/.ttp/b/sync>/dev/null 2>&1
@reboot /home/kodi/.ttp/b/sync>/dev/null 2>&1
#5 1 * * * /tmp/.mountfs/.rsync/c/aptitude>/dev/null 2>&1

ดูเหมือนว่าไวรัสจะเปิดใช้งานตัวเองทุกครั้งจากไดเรกทอรีอื่น เนื้อหาของไดเรกทอรีนั้นคือ:

>>> ls /home/kodi/.ttp/*
/home/kodi/.ttp/cron.d  /home/kodi/.ttp/dir2.dir

/home/kodi/.ttp/a:
a  bash.pid  config.txt  crond32  crond64  cronda  crondb  dir.dir  pools.txt  run  stop  upd

/home/kodi/.ttp/b:
a  dir.dir  rsync  run  stop  sync

/home/kodi/.ttp/c:
aptitude  dir.dir  go  ip  lib  n  p  run  slow  start  stop  tsm  tsm32  tsm64  v  watchdog

ฉันลบไฟล์เหล่านี้ทั้งหมดและรายการใน crontab และหวังว่าสิ่งนี้จะแก้ปัญหาได้ อย่างไรก็ตามฉันจะสนใจว่าไวรัสตัวนี้เป็นอย่างไรฉันจะจับได้อย่างไร (มันอาจเชื่อมต่อกับ Kodi) และสิ่งที่ฉันสามารถทำได้เพื่อป้องกันมัน โชคดีที่มันทำงานจากผู้ใช้ที่มีสิทธิ์ จำกัด แต่ก็ยังน่ารำคาญที่จะจัดการกับ


แก้ไข

แม้ว่าฉันดูเหมือนจะลบไวรัสนี้ทั้งหมด (ฉันยังลบโฟลเดอร์ tmp ทั้งหมด) แต่ไวรัสก็กลับมา ฉันตระหนักว่ามีรายการใน~/.ssh/authorized_hostsซึ่งแน่นอนฉันไม่ได้ใส่ตัวเอง สิ่งนี้จะอธิบายถึงวิธีการที่ไวรัสจะถูกนำมาใช้ซ้ำ ๆ ฉันลบรายการเข้าสู่ระบบที่ปิดใช้งานสำหรับผู้ใช้นั้นเข้าสู่ระบบรหัสผ่านที่ถูกปิดใช้งาน (รหัสผ่านเท่านั้น) และใช้พอร์ตที่ไม่ได้มาตรฐานตอนนี้

ฉันยังสังเกตเห็นความพยายามในการเข้าสู่ระบบซ้ำ ๆ บนเซิร์ฟเวอร์ของฉันด้วยชื่อผู้ใช้แบบสุ่มซึ่งอาจเป็นบ็อตบางประเภท (บันทึกดูคล้ายกับที่เปิดตัวจาก IP ของฉันอย่างน่าประหลาดใจ ฉันเดาว่าเป็นวิธีที่คอมพิวเตอร์ของฉันติดเชื้อในตอนแรก


4
โปรดทราบว่าหากคุณถูกแฮ็คมาแล้วหนึ่งครั้งโอกาสที่จะเกิดสิ่งอื่น ๆ บนดิสก์ที่ติดไวรัสหรือละเมิด คุณอาจจะระเบิดระบบและสร้างใหม่ ไวรัสแทบจะไม่ส่งผลกระทบต่อแอปพลิเคชั่นเดียวและมักแพร่กระจายไปทั่วดิสก์
Thomas Ward

ฉันเห็นด้วย! หากมีคนเข้าสู่ระบบของคุณให้เช็ดระบบและกู้คืนข้อมูลสำรองระบบ
Rinzwind

แน่นอนว่านี่จะเป็นทางออกที่ประหยัด แต่ฉันเพิ่งติดตั้งระบบนี้ใหม่และไม่ต้องการติดตั้งใหม่โดยไม่เข้าใจว่าเกิดอะไรขึ้น โดยการคัดลอกไฟล์ไปสิ่งนี้อาจเพิ่งเริ่มต้นใหม่อีกครั้งและฉันจะเสียเวลา
erik

อาจเป็นไปได้ว่าระบบของคุณถูกละเมิดดังนั้นวิธีที่ไวรัสจะกลับมาติดเชื้อได้อีกครั้ง ฉันจะทำระบบและเริ่มต้นใหม่
Thomas Ward

1
ฉันยังพบการติดเชื้อในไฟล์cd ~ && rm -rf .ssh && mkdir .ssh && echo "ssh-rsa AAAAB... ...VKPRK+oRw== mdrfckr">>.ssh/authorized_keys && chmod 700 .ssh && cd .ssh && chmod 600 authorized_keys && cd ~. bashrc ของผู้ใช้: ฉันเพิ่งcp /etc/skel/.bashrc /home/mycompromiseduser/ลบออกไป
letjump

คำตอบ:


6

ฉันมีเหมือนกัน บริการติดตั้ง rsync และรับไฟล์บางไฟล์ ฉันพบdota.tar.gzไฟล์ในโฟลเดอร์ผู้ใช้

  1. ปฏิเสธพอร์ต 22 ขาออกในไฟร์วอลล์ (เช่นufw deny out 22)
  2. pkill -KILL -u kodi (สิ่งนี้ฆ่ากระบวนการทำงานทั้งหมดของผู้ใช้ kodi)
  3. deluser kodi
  4. ลบ userhome
  5. ลบ rsync (ฉันไม่ได้ใช้สิ่งนี้)
  6. ลบ /tmp/.mountfs*

โปรดรับทราบว่านี่อาจเป็นการทำลายสิ่งสำหรับโคดี แทนที่จะลบ userhome ทั้งหมดคุณสามารถลบได้dota.tar.gz(ถ้ามี) และ.ttpโฟลเดอร์ (อย่าลืมทำความสะอาด crontab!)

หลังจากรีบูตฉันไม่เห็นการเชื่อมต่อขาออกอีกต่อไป (ตรวจสอบด้วย:

netstat -peanut | grep 22

การติดเชื้อเกิดขึ้นผ่านผู้ใช้ที่มีรหัสผ่านไม่รัดกุม (อาจเป็นบัญชี kodi ที่มีรหัสผ่านเริ่มต้นใช่หรือไม่)


1

ฉันมีมัลแวร์ตัวเดียวกัน รายการนั้นผ่านรหัสผ่านผู้ใช้ที่ไม่ได้บันทึกผ่าน ssh (พอร์ตที่ไม่ใช่ค่าเริ่มต้น) ตรวจพบและลบออกหลังจากผ่านไปประมาณ 24 ชั่วโมง

ในกรณีของฉันลบ crontab ของผู้ใช้rm -rdf /tmp/.*, rm -rdf /home/user/.*, killall -u userก็เพียงพอแล้ว


1

มีสิ่งนี้วันนี้ ฉันตรวจสอบระบบและพบว่าระบบของฉันมีร่องรอยเป็นเวลาประมาณหนึ่งเดือนและฉันไม่ได้ตระหนักว่าสิ่งนี้อยู่ที่นั่นจนกว่า ISP ของฉันจะแจ้งฉัน

มัลแวร์มาจากผู้ใช้ที่ไม่ปลอดภัยด้วยรหัสผ่านที่อ่อนแอ ในกรณีของฉันมันเป็นผู้ใช้งานไทม์แมชชีน บันทึกการรุกมีลักษณะเช่นนี้

98341:Dec 23 23:45:36 fileserver sshd[23179]: Accepted password for timemachine from 46.101.149.19 port 45573 ssh2

นี่คือเครื่องมือขุด XMRIGและช่องโหว่ที่สแกน IP อื่น ๆ เพื่อหาจุดอ่อนเดียวกัน ดังนั้นเครื่องหนึ่งสามารถเรียงซ้อนติดเชื้ออื่น ๆ หลายสิบ คุณสามารถดูรายงาน MS เกี่ยวกับการโจมตีทางไซเบอร์นี้

การป้องกันที่มีประสิทธิภาพมากที่สุดจากการโจมตีประเภทนี้คือการติดตั้งfail2banบนเซิร์ฟเวอร์ของคุณ จำกัด อัตราการเข้าถึง ssh ด้วยufwและใช้ ACL whitelist สำหรับระบบที่สามารถเข้าถึง SSH บนเซิร์ฟเวอร์ของคุณ


0

ในกรณีของฉันแหล่งที่มาของการติดเชื้อเป็นผู้ใช้ที่ไม่ได้เปลี่ยนรหัสผ่านที่ไม่ปลอดภัยจากเมื่อฉันสร้างบัญชีของเขา (แน่นอนฉันบอกเขาว่าให้) เซิร์ฟเวอร์ของฉันอาจอยู่ในบางรายการ: ฉันได้รับประมาณ 1,000 แบนต่อสัปดาห์จาก fail2ban (ลอง 4 ครั้งด้วยผู้ใช้หรือรหัสผ่านผิดและถูกบล็อกเป็นเวลาหนึ่งเดือน)


0

นี่คือวิธีแก้ปัญหาของฉัน (ชื่อเป็นมัลแวร์การทำเหมือง crypo):

  1. pkill งาน crontab
  2. ทำความสะอาดทุกสิ่งที่คำอธิบายของงาน crontab ชี้ไปที่: /home/xxx/.ttp/a/upd>/dev/null 2> & 1
  3. ลบ /tmp/.xxx/.rsync/c/aptitude>/dev/null 2> & 1
  4. สิ่งสำคัญที่สุด (ใช้เวลานานพอสมควรในการไปถึงที่นั่น) มิฉะนั้นจะกลับมาอีก: รัน crontab -e (สำหรับผู้ใช้รายนี้) คุณจะพบงาน crontab ด้านบนอยู่ที่นั่นลบทั้งหมดของพวกเขาบันทึกไว้
  5. เปลี่ยนหมายเลขพอร์ต
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.