Sigo apareciendo trabajos cron de weir y no tengo ni idea de lo que hacen. Normalmente publico kill -9 para detenerlos. Ocupan el 100% de mi CPU y pueden funcionar durante días hasta que lo verifique. Alguien sabe que significa esto?
sudo crontab -l
0 0 */3 * * /root/.firefoxcatche/a/upd>/dev/null 2>&1
@reboot /root/.firefoxcatche/a/upd>/dev/null 2>&1
5 8 * * 0 /root/.firefoxcatche/b/sync>/dev/null 2>&1
@reboot /root/.firefoxcatche/b/sync>/dev/null 2>&1
#5 1 * * * /tmp/.X13-unix/.rsync/c/aptitude>/dev/null 2>&1
Estoy ejecutando el servidor Ubuntu 18 LTS completamente actualizado desde ayer 24/07/2019
ACTUALIZAR
Agradezco todos los comentarios. He desconectado todas las unidades de datos y aplicaciones ya que lo único que se vio afectado fue la unidad del sistema operativo, al menos hice ese tipo de cosas correctamente. Voy con una reconstrucción completa, con mucha más seguridad y métodos más seguros.
.firefoxcatche
probablemente no tenga nada que ver con firefox, ¿podría ser solo un minero de bitcoin? Intenta subir los ejecutables a virustotal./root/.firefoxcatche/a/upd
y/root/.firefoxcatche/b/sync
sudo crontab -e
editar no funciona? Pero si este es un cryptominer que no instaló ... se volverán a agregar. Primero mira en "/root/.firefoxcatche/a/upd" lo que hace.Respuestas:
Lo más probable es que su máquina tenga una infección de cripto minero. Puede ver a alguien más informando nombres de archivo y comportamientos similares en la detección de la vida real de una máquina virtual en Azure con Security Center . Consulte también Mi servidor Ubuntu tiene un virus ... Lo he localizado pero no puedo deshacerme de él ... en Reddit.
Ya no puede confiar en esa máquina y debe volver a instalarla. Tenga cuidado con la restauración de copias de seguridad.
fuente
Su máquina ha sido infectada con un ataque de cripto minero. También me enfrenté a un ataque de ransomware similar en el pasado y mi base de datos se vio comprometida. Tomé un volcado de SQL para la máquina y la reaprovisioné (ya que mi máquina era una VM alojada en AWS EC2). También modifiqué los grupos de seguridad de la máquina para bloquear el acceso SSH y las contraseñas modificadas. También habilité el registro para registrar consultas y exportarlo a S3 todas las noches.
fuente
A mí me pasó lo mismo y me di cuenta ayer.
/var/log/syslog
Revisé el archivo y esta IP (185.234.218.40) parecía estar ejecutando automáticamente cronjobs.Lo revisé en http://whatismyipaddress.com ( https://whatismyipaddress.com/ip/185.234.218.40 ) y tiene algunos informes. Estos archivos fueron editados por el troyano:
Encontré esto al final de
.bashrc
(que se ejecuta cada vez que se abre bash):Está eliminando su
authorized_keys
archivo, que es una lista de claves SSH que pueden conectarse sin contraseña. Luego, agrega la clave SSH del atacante:Además, encontré esta carpeta:
/tmp/.X13-unix/.rsync
donde está todo el malware. Incluso encontré un archivo,/tmp/.X13-unix/.rsync/c/ip
un archivo que contiene 70 000 direcciones IP, que probablemente sean otras víctimas o servidores de nodo.Hay 2 soluciones: A:
Agregue un firewall que bloquee todas las conexiones salientes, excepto el puerto 22 y otros que considere necesarios, y habilite fail2ban, un programa que prohíbe una dirección IP después de X intentos fallidos de contraseña
Elimine todos los trabajos cron:
ps aux | grep cron
luego elimine el PID que apareceCambie su contraseña a una segura
SI:
Haga una copia de seguridad de cualquier archivo o carpeta que necesite o desee
Restablezca el servidor y reinstale Ubuntu, o cree directamente una nueva gota
Como dijo Thom Wiggers, ciertamente eres parte de una botnet de minería de bitcoin y tu servidor tiene una puerta trasera . La puerta trasera emplea un exploit perl, un archivo ubicado aquí: que
/tmp/.X13-unix/.rsync/b/run
contiene esto ( https://pastebin.com/ceP2jsUy )Las carpetas más sospechosas que encontré fueron:
/tmp/.X13-unix/.rsync
~/.bashrc
(que fue editado)~/.firefoxcatche
Finalmente, hay un artículo relacionado con Perl Backdoor aquí: https://blog.trendmicro.com/trendlabs-security-intelligence/outlaw-hacking-groups-botnet-observed-spreading-miner-perl-based-backdoor/
Espero que encuentres esto útil.
fuente
~/.bashrc
había editado. Encontré que para matar al falsorsync
tenía que emitirkill -9 <pid>
.