web-dev-qa-db-ja.com

新しいLinuxウイルス「watchbog」。原因は何でしょうか?

この質問はすでにここで取り上げられましたが、reinstall everythingなどの一般的な回答では不十分であり、実際の解決策や原因はありません。

だからここに私の話があります:サーバーからすべてのCPUを消費する「WATCHBOG」と呼ばれるプロセスを作成する新しいウイルスがあります。さらに調査したところ、このウイルスが暗号通貨を採掘していることがわかりました。

全文:

サーバーの仕様:OS:Ubuntuサーバー16.04.5 LTSソフトウェア:virtualhostsを含むApache2、MYSQL、PHP5.6、PHP7

このWebサーバーが感染していることがわかったとき、Webページはまだ機能していますが、非常に遅くなっています。最初に目にするのは、すべてのCPUを消費するwatchbogプロセスです。そのため、私はそれを強制終了しようとしましたが、すぐに再表示され、すべてが非常に遅いため、サーバーを操作することはほとんど不可能です。次に、「このプロセスを終了する必要がある」と思ったので、「* * * * * killall watchbog」をcrontabに入れると思ったので、crontabを開いたところ、その侵害も判明しました。この新しいエントリをcrontabから削除し、watchbogファイルを削除しました。1〜2分後にすべてが魔法のように再表示されました。 Crontabは、何らかのリモートスクリプトを実行するために再び危険にさらされ、watchbogプロセスが起動し、CPUを再び消費していました。

私はウェブ上で何か役に立つものを見つけようとしました、そしてこれらの記事を見つけました:

これが最も役立つものです: https://sudhakarbellamkonda.blogspot...50061219193777

この記事をフォローした後も、watchbogウイルスはまだ再出現したので、この解決策を思いつきました:rootとしてscreenセッションを開いて、このループを実行します:(trueの間に; killall watchbogを実行してください; done)、screenセッションを切り離してバックグラウンドで実行したままにしますCTRL + A + D。私はこのブログにもこのソリューションを投稿しました。ここにもう1つ投稿がありますが、実際には役に立ちません
https://unix.stackexchange.com/questions/487437/a-strange-process-called-watchbog-is-hogging-my-entire-cpu-and-i-cant-get -rid

だから私はこのウイルスとの戦いを試みましたが、運が悪かったので、パスワードを変更し、SSHを再インストールしました。一方、最新の18.04.1 LTSで新しいUbuntuサーバーを作成しました。すべての最新のWebサーバーをインストールし、UFWを有効にし、WebポートとFTPポートを開いてから、WWWデータとSQLを移行し、IPを元のサーバーのIPに戻しました。

ウイルスが新しいマシンに戻ってきました

おそらく、このウイルスはWebサーバーソフトウェアの脆弱性を利用してシステムに感染すると思います。そのため、WGETとCURLがシステム全体にウイルスを分散させる原因であることがわかりました。

ヒントがある場合は、脆弱性を見つけるのを手伝ってください。

追伸これは私の最初の質問です、私をそっと判断してください:)

3
r. tihovs

最後に脆弱性を発見しました!

原因はSOLR検索エンジンモジュール( http://lucene.Apache.org/solr/ )で、古く、root権限を持っていたため、削除した後、ウイルスは再び出現しなくなりました。だから今の計画はゼロから始めて、それが終わることを願っています...

0
r. tihovs

これについて多くの掘り下げを行いました。これは、古いコードを実行するかなり新しいスクリプトです。 Twitter、google translate、notpad、そして一般的な退屈さを叫んでください。

Watchbogは、暗号解読を実行するためにシステムを危険にさらすいくつかのユーティリティをダウンロードするマイナースクリプトです。パッケージの一部として、いくつかの機能があります。

  1. 使用されているOSのアーキテクチャを決定します
  2. 悪用するカーネルのバージョンを決定します
  3. 悪用するために/ tmp内の場所に適切なツールをダウンロードします。

スクリプトが起動すると、更新、スクリプトの実行など、Pastebinからいくつかのコマンドを探します。攻撃者がまだPastebinを使用していて、まだこれに対する更新がないように思われるのは私の仮定ですが、スクリプトはそれを探すのに十分スマートです。

更新をチェックした後、スクリプトはcronをバックサップし、スクリプトへのSEVERAL参照で完全に書き換えて、ユーザーが試行しても更新されて実行されることを確認します。コードのこの部分を読むのはかなり大変ですが、間違いなく実行可能です。

CRONタブが正常に実行されると、アカウントはその資格情報を確認できます。必要に応じて、cve-2017-16995を利用します。詳細はここにあります:

https://www.exploit-db.com/exploits/4501

これにより、標準ユーザーはrootになり、必要に応じてスクリプトの実行を開始できます。いくつかの基本的なテストを実行して、すべてのコンポーネントが機能していることを確認し(Curl、wget、python、OS呼び出し)、アプリケーション全体を起動してマイニングを開始します。

オンラインで見ると、このファイルはXSS攻撃を許可するサイトに影響を与えるために簡単に使用できるようです。スクリプト作成用に許可されたサイトをロックすることに加えて、パッチ適用のために確認する必要がある他のターゲット領域がいくつかあります。

  1. 彼らはrootアカウントにメールスプーラーを使用します。シェルスクリプトが埋め込まれたメールがあります。 Watchbogを起動するもの。

  2. 上記のコメントはSOLRについて述べています。私が中国から見つけた情報源は、ウェブサイトで人気のあるリッチテキストエディターであるCKeditorを使用した後、XSSの可能性があると述べました。間違いなく心に留めておくべきこと。

持ち帰る:

すべてをパッチします。使用される脆弱性は、次のカーネルに影響を与えます。

'4.4.0-31-generic',
'4.4.0-62-generic',
'4.4.0-81-generic',
'4.4.0-116-generic',
'4.8.0-58-generic',
'4.10.0.42-generic',
'4.13.0-21-generic',
'4.9.0-3-AMD64',
'4.9.0-deepin13-AMD64',
'4.8.0-52-generic',
'4.8.6-300.fc25.x86_64',
'4.11.8-300.fc26.x86_64',
'4.13.9-300.fc27.x86_64',
'4.5.2-aufs-r',
'4.4.0-89-generic',
'4.8.0-58-generic',
'4.13.0-16-generic',
'4.9.35-desktop-1.mga6',
'4.4.28-2-MANJARO',
'4.12.7-11.current',
'4.4.0-89-generic',
'4.8.0-45-generic',
'4.10.0-28-generic',
'4.10.0-19-generic',
'4.8.0-39-generic'

Rootにメールを送らせないでください。

XSSから身を守ってください。

6
Connor Peoples

私はあなたが「貧しい一般的な答え」と判断した答えの1つでしょうが、もう一度言います。

現時点では、このウイルスについてはほとんど知られていないため、現在実行中のプロセスよりもはるかに多く、バックドアなどの機密データへの重大な違反になる可能性があります。したがって、安全なことは、保存したいファイルを手動で選択した後で新しいインストールをやり直すことだけです。AndrolGenhaldが言ったように、新しいシステムでの新しい感染を防ぐ方法に集中してください。

1
Thryn