Je continue de faire apparaître des emplois cron et je n'ai aucune idée de ce qu'ils font. J'émets généralement kill -9 pour les arrêter. Ils occupent 100% de mon processeur et peuvent fonctionner pendant des jours jusqu'à ce que je vérifie. Quelqu'un sait-il ce que cela signifie?
sudo crontab -l
0 0 */3 * * /root/.firefoxcatche/a/upd>/dev/null 2>&1
@reboot /root/.firefoxcatche/a/upd>/dev/null 2>&1
5 8 * * 0 /root/.firefoxcatche/b/sync>/dev/null 2>&1
@reboot /root/.firefoxcatche/b/sync>/dev/null 2>&1
#5 1 * * * /tmp/.X13-unix/.rsync/c/aptitude>/dev/null 2>&1
J'exécute le serveur Ubuntu 18 LTS entièrement à jour depuis hier 24/07/2019
MISE À JOUR
J'apprécie tous les commentaires. J'ai déconnecté tous les lecteurs de données et d'applications car la seule chose qui a été affectée était le lecteur du système d'exploitation, j'ai au moins fait ce genre de chose correctement. Je vais avec une reconstruction complète, avec beaucoup plus de sécurité et des méthodes plus sécurisées.
.firefoxcatche
n'a probablement rien à voir avec Firefox - pourrait-il s'agir simplement d'un mineur de bitcoin? Essayez de télécharger les exécutables sur virustotal./root/.firefoxcatche/a/upd
et/root/.firefoxcatche/b/sync
sudo crontab -e
éditer ne fonctionnerait-il pas? Mais s'il s'agit d'un cryptominer que vous n'avez pas installé ... ceux-ci seront rajoutés. Regardez dans "/root/.firefoxcatche/a/upd" ce qu'il fait.Réponses:
Votre machine est très probablement infectée par un crypto-mineur. Vous pouvez voir quelqu'un d'autre signaler des noms de fichiers et des comportements similaires lors de la détection en temps réel d'une machine virtuelle dans Azure avec Security Center . Voir aussi Mon serveur Ubuntu a un virus ... Je l'ai localisé mais je ne peux pas m'en débarrasser ... sur Reddit.
Vous ne pouvez plus faire confiance à cette machine et devez la réinstaller. Soyez prudent avec la restauration des sauvegardes.
la source
Votre machine a été infectée par une attaque de crypto-mineur. J'ai également fait face à une attaque de ransomware similaire dans le passé et ma base de données a été compromise. J'ai pris un vidage SQL pour la machine et réapprovisionné la machine (car ma machine était une machine virtuelle hébergée sur AWS EC2). J'ai également modifié les groupes de sécurité de la machine pour verrouiller l'accès SSH et les mots de passe modifiés. J'ai également activé la journalisation pour consigner les requêtes et l'exporter vers S3 tous les soirs.
la source
La même chose m'est arrivée et je l'ai remarqué hier. J'ai vérifié le fichier
/var/log/syslog
et cette IP (185.234.218.40) semblait exécuter automatiquement des cronjobs.Je l'ai vérifié sur http://whatismyipaddress.com ( https://whatismyipaddress.com/ip/185.234.218.40 ) et il contient des rapports. Ces fichiers ont été édités par le cheval de Troie:
J'ai trouvé ceci à la fin de
.bashrc
(qui est exécuté chaque fois que bash est ouvert):Il supprime votre
authorized_keys
fichier, qui est une liste de clés SSH autorisées à se connecter sans mot de passe. Ensuite, il ajoute la clé SSH de l'attaquant:De plus, j'ai trouvé ce dossier:,
/tmp/.X13-unix/.rsync
où se trouvent tous les logiciels malveillants. J'ai même trouvé un fichier,/tmp/.X13-unix/.rsync/c/ip
un fichier contenant 70 000 adresses IP, qui sont probablement d'autres victimes ou serveurs de nœuds.Il existe 2 solutions: A:
Ajoutez un pare-feu bloquant toutes les connexions sortantes à l'exception du port 22 et d'autres que vous jugez nécessaires et activez fail2ban, un programme qui interdit une adresse IP après l'échec de X tentatives de mot de passe
Tuez tous les travaux cron:,
ps aux | grep cron
puis tuez le PID qui s'afficheChangez votre mot de passe en un mot de passe sécurisé
B:
Sauvegardez tous les fichiers ou dossiers dont vous avez besoin ou que vous souhaitez
Réinitialisez le serveur et réinstallez Ubuntu, ou créez directement une nouvelle droplet
Comme l'a dit Thom Wiggers, vous faites certainement partie d'un botnet de minage de bitcoins, et votre serveur a une porte dérobée . La porte dérobée utilise un exploit perl, un fichier situé ici:,
/tmp/.X13-unix/.rsync/b/run
contenant ceci ( https://pastebin.com/ceP2jsUy )Les dossiers les plus suspects que j'ai trouvés étaient:
/tmp/.X13-unix/.rsync
~/.bashrc
(qui a été édité)~/.firefoxcatche
Enfin, il y a un article relatif à la porte arrière Perl ici: https://blog.trendmicro.com/trendlabs-security-intelligence/outlaw-hacking-groups-botnet-observed-spreading-miner-perl-based-backdoor/
J'espère que vous trouvez ça utile.
la source
~/.bashrc
avait été édité. J'ai trouvé que pour tuer le faux,rsync
je devais émettrekill -9 <pid>
.