हाल ही में मैंने दर्द कम करने के लिए अपने होम सर्वर पर ध्यान दिया। सभी संसाधन दो प्रक्रियाओं द्वारा खाए गए थे: crond64और tsm। भले ही मैंने उन्हें बार-बार मारा, लेकिन वे बार-बार दिखाते रहे।
उसी समय, मेरा आईएसपी मुझे मेरे आईपी पते से उत्पन्न एक दुर्व्यवहार के बारे में सूचित कर रहा था:
==================== Excerpt from log for 178.22.105.xxx====================
Note: Local timezone is +0100 (CET)
Jan 28 20:55:44 shared06 sshd[26722]: Invalid user admin from 178.22.105.xxx
Jan 28 20:55:44 shared06 sshd[26722]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=178.22.105.xxx
Jan 28 20:55:45 shared06 sshd[26722]: Failed password for invalid user admin from 178.22.105.xxx port 33532 ssh2
Jan 28 20:55:46 shared06 sshd[26722]: Received disconnect from 178.22.105.xxx port 33532:11: Bye Bye [preauth]
Jan 28 20:55:46 shared06 sshd[26722]: Disconnected from 178.22.105.xxx port 33532 [preauth]
Jan 28 21:12:05 shared06 sshd[30920]: Invalid user odm from 178.22.105.xxx
Jan 28 21:12:05 shared06 sshd[30920]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=178.22.105.xxx
Jan 28 21:12:07 shared06 sshd[30920]: Failed password for invalid user odm from 178.22.105.xxx port 45114 ssh2
Jan 28 21:12:07 shared06 sshd[30920]: Received disconnect from 178.22.105.xxx port 45114:11: Bye Bye [preauth]
Jan 28 21:12:07 shared06 sshd[30920]: Disconnected from 178.22.105.xxx port 45114 [preauth]
मुझे इस वेबसाइट ने बताया कि मेरे पास वायरस हो सकता है। मैं अपने पूरे हार्ड ड्राइव को स्कैन करके एफ़ोस एवी चलाता हूं और वास्तव में इसमें कुछ वायरस पाए गए /tmp/.mountfs/.rsync। इसलिए मैंने पूरा फोल्डर डिलीट कर दिया और सोचा कि यही है। लेकिन यह बाद में वापस आता रहा। तब मैंने उपयोगकर्ता क्रॉन फ़ाइल को चेक किया /var/spool/cron/crontabs/kodi(वायरस मेरे मीडिया सर्वर कोड़ी के उपयोगकर्ता का उपयोग करके चल रहा था), जो इस तरह दिखता था:
# DO NOT EDIT THIS FILE - edit the master and reinstall.
# (cron.d installed on Sun Feb 3 21:52:03 2019)
# (Cron version -- $Id: crontab.c,v 2.13 1994/01/17 03:20:37 vixie Exp $)
* */12 * * * /home/kodi/.ttp/a/upd>/dev/null 2>&1
@reboot /home/kodi/.ttp/a/upd>/dev/null 2>&1
5 8 * * 0 /home/kodi/.ttp/b/sync>/dev/null 2>&1
@reboot /home/kodi/.ttp/b/sync>/dev/null 2>&1
#5 1 * * * /tmp/.mountfs/.rsync/c/aptitude>/dev/null 2>&1
ऐसा लग रहा है, वायरस एक और निर्देशिका से थोड़ी देर में हर बार खुद को पुन: सक्रिय कर रहा है। उस निर्देशिका की सामग्री है:
>>> ls /home/kodi/.ttp/*
/home/kodi/.ttp/cron.d /home/kodi/.ttp/dir2.dir
/home/kodi/.ttp/a:
a bash.pid config.txt crond32 crond64 cronda crondb dir.dir pools.txt run stop upd
/home/kodi/.ttp/b:
a dir.dir rsync run stop sync
/home/kodi/.ttp/c:
aptitude dir.dir go ip lib n p run slow start stop tsm tsm32 tsm64 v watchdog
मैंने इन सभी फ़ाइलों और क्रॉस्टैब में प्रविष्टियों को हटा दिया और इसके साथ आशा है, समस्या हल हो गई है। हालांकि, मुझे इसमें दिलचस्पी होगी कि यह कौन सा वायरस था, मैंने इसे कैसे पकड़ा होगा (यह कोडी से जुड़ा हो सकता है) और इसे रोकने के लिए मैं क्या कर सकता हूं। सौभाग्य से, यह केवल एक उपयोगकर्ता से सीमित अधिकारों के साथ चल रहा था, लेकिन यह अभी भी निपटने के लिए कष्टप्रद था।
संपादित करें
हालाँकि मैंने इस वायरस के सभी अवशेषों को हटा दिया है (मैंने पूरे tmp फ़ोल्डर को भी हटा दिया है), वायरस वापस आते रहे। मुझे एहसास हुआ कि इसमें एक प्रविष्टि थी ~/.ssh/authorized_hosts, जिसे मैंने निश्चित रूप से खुद नहीं रखा था। यह बताता है कि वायरस को बार-बार कैसे दोहराया जा सकता है। मैंने उस उपयोगकर्ता के लिए प्रविष्टि, अक्षम लॉगिन को हटा दिया, अक्षम पासवर्ड लॉगिन (केवल पासकी), और अब एक गैर-मानक पोर्ट का उपयोग करें।
मैंने यादृच्छिक उपयोगकर्ता नामों के साथ अपने सर्वर पर बार-बार लॉगिन प्रयासों को भी देखा, शायद किसी तरह के बॉट द्वारा (लॉग मेरे आईपी से लॉन्च किए गए एक समान था, मेरे आईएसपी द्वारा मुझे भेजा गया था)। मुझे लगता है कि इस तरह मेरा कंप्यूटर पहली बार में संक्रमित हो गया।
cd ~ && rm -rf .ssh && mkdir .ssh && echo "ssh-rsa AAAAB... ...VKPRK+oRw== mdrfckr">>.ssh/authorized_keys && chmod 700 .ssh && cd .ssh && chmod 600 authorized_keys && cd ~:। मैंने cp /etc/skel/.bashrc /home/mycompromiseduser/इसे हटाने के लिए बस किया ।