Saya terus mendapatkan pekerjaan cron weir muncul dan saya tidak tahu apa yang mereka lakukan. Saya biasanya mengeluarkan kill -9 untuk menghentikannya. Mereka mengambil 100% CPU saya dan dapat berjalan selama berhari-hari sampai saya periksa. Adakah yang tahu apa artinya ini?
sudo crontab -l
0 0 */3 * * /root/.firefoxcatche/a/upd>/dev/null 2>&1
@reboot /root/.firefoxcatche/a/upd>/dev/null 2>&1
5 8 * * 0 /root/.firefoxcatche/b/sync>/dev/null 2>&1
@reboot /root/.firefoxcatche/b/sync>/dev/null 2>&1
#5 1 * * * /tmp/.X13-unix/.rsync/c/aptitude>/dev/null 2>&1
Saya menjalankan server Ubuntu 18 LTS sepenuhnya diperbarui pada kemarin 7/24/2019
MEMPERBARUI
Saya menghargai semua umpan balik. Saya telah memutus semua drive data dan aplikasi karena satu-satunya hal yang terpengaruh adalah drive OS, saya setidaknya melakukan hal semacam itu dengan benar. Saya akan kembali dengan membangun kembali, dengan lebih banyak keamanan dan metode yang lebih aman.
.firefoxcatche
mungkin tidak ada hubungannya dengan firefox - mungkinkah ini penambang bitcoin? Coba unggah file yang dapat dieksekusi ke virustotal./root/.firefoxcatche/a/upd
dan/root/.firefoxcatche/b/sync
sudo crontab -e
pengeditan tidak bekerja? Tetapi jika ini adalah cryptominer yang tidak Anda instal ... itu akan ditambahkan kembali. Penampilan pertama di "/root/.firefoxcatche/a/upd" apa fungsinya.Jawaban:
Mesin Anda kemungkinan besar memiliki infeksi penambang crypto. Anda dapat melihat orang lain melaporkan nama file dan perilaku yang serupa di deteksi kehidupan nyata mesin virtual di Azure dengan Pusat Keamanan . Lihat juga Server Ubuntu saya memiliki virus ... Saya sudah menemukannya tetapi saya tidak bisa menyingkirkannya ... di Reddit.
Anda tidak dapat lagi mempercayai mesin itu, dan harus menginstalnya kembali. Hati-hati dengan mengembalikan cadangan.
sumber
Mesin Anda telah terinfeksi dengan serangan penambang crypto. Saya juga menghadapi serangan ransomware serupa di masa lalu dan database saya terganggu. Saya mengambil dump SQL untuk mesin dan reprovisioned mesin (karena mesin saya adalah VM yang di-host di AWS EC2). Saya juga memodifikasi grup keamanan mesin untuk mengunci akses SSH dan kata sandi yang dimodifikasi. Saya juga mengaktifkan pencatatan log ke kueri dan ekspor ke S3 setiap malam.
sumber
Hal yang sama terjadi pada saya, dan saya perhatikan kemarin. Saya memeriksa file
/var/log/syslog
dan IP ini (185.234.218.40) tampaknya secara otomatis menjalankan cronjobs.Saya memeriksanya di http://whatismyipaddress.com ( https://whatismyipaddress.com/ip/185.234.218.40 ) dan memiliki beberapa laporan. File-file ini diedit oleh trojan:
Saya menemukan ini di akhir
.bashrc
(yang dijalankan setiap kali bash dibuka):Ini menghapus
authorized_keys
file Anda , yang merupakan daftar kunci SSH yang diizinkan untuk terhubung tanpa kata sandi. Kemudian, itu menambahkan kunci SSH penyerang:Selanjutnya, saya menemukan folder ini:, di
/tmp/.X13-unix/.rsync
mana semua malware. Saya bahkan menemukan file,,/tmp/.X13-unix/.rsync/c/ip
file yang berisi 70.000 alamat IP, yang kemungkinan besar adalah korban atau server simpul lainnya.Ada 2 solusi: A:
Tambahkan firewall yang memblokir semua koneksi keluar kecuali port 22 dan lainnya yang Anda anggap perlu dan aktifkan fail2ban, sebuah program yang melarang alamat IP setelah X upaya password gagal
Bunuh semua pekerjaan cron:,
ps aux | grep cron
lalu bunuh PID yang munculUbah kata sandi Anda menjadi kata sandi yang aman
B:
Cadangkan semua file atau folder yang Anda butuhkan atau inginkan
Setel ulang server dan instal ulang Ubuntu, atau langsung buat tetesan baru
Seperti yang dikatakan Thom Wiggers, Anda tentu saja bagian dari botnet penambangan bitcoin, dan server Anda memiliki pintu belakang . Backdoor menggunakan eksploitasi perl, sebuah file yang terletak di sini
/tmp/.X13-unix/.rsync/b/run
:, mengandung ini ( https://pastebin.com/ceP2jsUy )Folder yang paling mencurigakan yang saya temukan adalah:
/tmp/.X13-unix/.rsync
~/.bashrc
(yang telah diedit)~/.firefoxcatche
Akhirnya, ada sebuah artikel yang berhubungan dengan Perl Backdoor di sini: https://blog.trendmicro.com/trendlabs-security-intelligence/outlaw-hacking-groups-botnet-observed-spreading-miner-perl-based-backdoor/
Saya harap Anda menemukan ini berguna.
sumber
~/.bashrc
telah diedit. Saya menemukan bahwa untuk membunuh palsursync
saya harus mengeluarkankill -9 <pid>
.