Ubuntuのcrond64 / tsmウイルス


14

最近、ホームサーバーが非常に遅くなることに気付きました。すべてのリソースは、2つのプロセスによって食い尽くされた:crond64tsm。私は彼らを繰り返し殺しましたが、彼らは何度も現れ続けました。

同時に、私のISPは私のIPアドレスからの不正行為について私に通知していました。

==================== Excerpt from log for 178.22.105.xxx====================
Note: Local timezone is +0100 (CET)
Jan 28 20:55:44 shared06 sshd[26722]: Invalid user admin from 178.22.105.xxx
Jan 28 20:55:44 shared06 sshd[26722]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=178.22.105.xxx
Jan 28 20:55:45 shared06 sshd[26722]: Failed password for invalid user admin from 178.22.105.xxx port 33532 ssh2
Jan 28 20:55:46 shared06 sshd[26722]: Received disconnect from 178.22.105.xxx port 33532:11: Bye Bye [preauth]
Jan 28 20:55:46 shared06 sshd[26722]: Disconnected from 178.22.105.xxx port 33532 [preauth]
Jan 28 21:12:05 shared06 sshd[30920]: Invalid user odm from 178.22.105.xxx
Jan 28 21:12:05 shared06 sshd[30920]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=178.22.105.xxx
Jan 28 21:12:07 shared06 sshd[30920]: Failed password for invalid user odm from 178.22.105.xxx port 45114 ssh2
Jan 28 21:12:07 shared06 sshd[30920]: Received disconnect from 178.22.105.xxx port 45114:11: Bye Bye [preauth]
Jan 28 21:12:07 shared06 sshd[30920]: Disconnected from 178.22.105.xxx port 45114 [preauth]

私はでの傾けたこの私がウイルスに感染している可能性があることをウェブサイト。Sophos AVを実行してハードドライブ全体をスキャンしたところ、実際にでウイルスが見つかりました/tmp/.mountfs/.rsync。だから私はフォルダ全体を削除し、これがそれだと思った。しかし、その後も続きました。次に、次のようなユーザーcronファイル/var/spool/cron/crontabs/kodi(メディアサーバーkodiのユーザーを使用してウイルスが実行されていた)をチェックインしました。

# DO NOT EDIT THIS FILE - edit the master and reinstall.
# (cron.d installed on Sun Feb  3 21:52:03 2019)
# (Cron version -- $Id: crontab.c,v 2.13 1994/01/17 03:20:37 vixie Exp $)
* */12 * * * /home/kodi/.ttp/a/upd>/dev/null 2>&1
@reboot /home/kodi/.ttp/a/upd>/dev/null 2>&1
5 8 * * 0 /home/kodi/.ttp/b/sync>/dev/null 2>&1
@reboot /home/kodi/.ttp/b/sync>/dev/null 2>&1
#5 1 * * * /tmp/.mountfs/.rsync/c/aptitude>/dev/null 2>&1

ウイルスは時々別のディレクトリから自分自身を再アクティブ化するようです。そのディレクトリの内容は次のとおりです。

>>> ls /home/kodi/.ttp/*
/home/kodi/.ttp/cron.d  /home/kodi/.ttp/dir2.dir

/home/kodi/.ttp/a:
a  bash.pid  config.txt  crond32  crond64  cronda  crondb  dir.dir  pools.txt  run  stop  upd

/home/kodi/.ttp/b:
a  dir.dir  rsync  run  stop  sync

/home/kodi/.ttp/c:
aptitude  dir.dir  go  ip  lib  n  p  run  slow  start  stop  tsm  tsm32  tsm64  v  watchdog

これらのファイルとcrontabのエントリをすべて削除し、これで問題が解決することを願っています。しかし、私はこれがどんなウイルスで、どのようにそれを捕まえたのか(Kodiに接続されているかもしれない)、それを防ぐためにできることに興味があります。幸いなことに、それは限られた権限を持つユーザーからのみ実行されていましたが、それでも対処するのは面倒でした。


編集

私はこのウイルスの残りをすべて削除したようですが(tmpフォルダ全体も削除しました)、ウイルスは戻ってきました。にエントリがあることに気付きました~/.ssh/authorized_hosts。これは、ウイルスを繰り返し再移植する方法を説明しています。エントリを削除し、そのユーザーのログインを無効にし、パスワードログイン(パスキーのみ)を無効にし、非標準ポートを使用します。

また、おそらく何らかのボットによって、ランダムなユーザー名でサーバーにログイン試行が繰り返されることにも気付きました(ログは、ISPから送信されたIPから起動されたものと驚くほど似ていました)。そもそもこれが私のコンピューターが感染した理由だと思います。


4
すでにハッキングされたことがある場合、ディスク上の他の場所に感染または侵害されたものがある可能性があることに注意してください。おそらくシステムを吹き飛ばして再構築する必要があります。ウイルスが1つのアプリケーションにのみ影響することは非常にまれで、通常はディスク全体に広がります。
トーマス・ウォード

同意する!システムに誰かが乗った場合、システムを
消去し

確かに、これが保存ソリューションになります。しかし、このシステムを再インストールしたばかりで、何が起こったのか理解せずに再インストールしたくありませんでした。ファイルをコピーすることによって、これはちょうど最初からやり直した可能性があり、私は自分の時間を無駄にしたでしょう。
エリック

おそらく、システムが侵害されたため、どのようにウイルスが再感染し続けるのでしょう。システムを破棄して、最初からやり直します。
トーマスウォード

1
また、ユーザーの.bashrcファイルへの感染も発見しましたcd ~ && rm -rf .ssh && mkdir .ssh && echo "ssh-rsa AAAAB... ...VKPRK+oRw== mdrfckr">>.ssh/authorized_keys && chmod 700 .ssh && cd .ssh && chmod 600 authorized_keys && cd ~cp /etc/skel/.bashrc /home/mycompromiseduser/削除するだけでした。
letsjump

回答:


6

私も同じでした。サービスはrsyncをインストールし、いくつかのファイルを取得しました。dota.tar.gzユーザーフォルダーにファイルが見つかりました。

  1. ファイアウォールでポート22の発信を拒否します(例ufw deny out 22
  2. pkill -KILL -u kodi (これにより、ユーザーkodiの実行中のすべてのプロセスが強制終了されます)
  3. deluser kodi
  4. userhomeを削除します
  5. rsyncを削除します(これは使用しませんでした)
  6. 削除する /tmp/.mountfs*

これはおそらくkodiを台無しにすることに注意してください。userhome全体を削除する代わりに、おそらくdota.tar.gz(存在する場合)および.ttpフォルダー(crontabを消去することを忘れないでください!)のみを削除できます。

再起動後、発信接続が表示されなくなりました(次を確認してください:

netstat -peanut | grep 22

脆弱なパスワードを持つユーザーを介して感染が発生しました(デフォルトのパスワードを持つkodiアカウントですか?)


1

同じマルウェアがありました。エントリーは、ssh(非デフォルトポート)を介した未保存のユーザーパスワードによるものであり、約24時間後に検出および削除されました。

私の場合は、ユーザーのcrontabを削除、rm -rdf /tmp/.*rm -rdf /home/user/.*killall -u user十分でした。


1

今日このことをしました。システムを調べたところ、システムに約1か月の痕跡があることがわかりましたが、ISPから通知されるまで、この問題が存在することに気付きませんでした。

マルウェアは、弱いパスワードを持つ安全でないユーザーを介して侵入しました。私の場合、それはtimemachineユーザーでした。侵入ログは次のようになりました。

98341:Dec 23 23:45:36 fileserver sshd[23179]: Accepted password for timemachine from 46.101.149.19 port 45573 ssh2

これは、XMRIGマイナーであり、同じ弱点について他のIPをスキャンするエクスプロイトです。そのため、1台のマシンで何十台ものマシンをカスケード感染させることができます。あなたは見てとることができ、このサイバー攻撃に関するMS報告を

この種の攻撃からの最も効果的な保護はfail2ban、サーバーへのインストール、sshアクセスのレート制限ufw、サーバー上のSSHにアクセスできるシステムのホワイトリストACLの使用です。


0

私の場合、感染源はユーザーがアカウントを作成したときから安全でないパスワードを変更しなかったことです(もちろん彼に伝えました)。私のサーバーはおそらくいくつかのリストに載っています:私はfail2banから週に約1000の禁止を取得します(間違ったユーザーまたはパスワードで4回試して、1か月ブロックされます)


0

これは私の解決策です(また、crypoマイニングマルウェアとも呼ばれます):

  1. crontabジョブを削除する
  2. このcrontabジョブの説明が何であれ、つまり/home/xxx/.ttp/a/upd>/dev/null 2>&1を指しているものをすべて削除します。
  3. /tmp/.xxx/.rsync/c/aptitude>/dev/null 2>&1を削除します
  4. 最も重要なこと(そこに到達するには長い時間がかかります)、そうでない場合は戻ってきます:crontab -e(このユーザーに対して)を実行すると、上記のcrontabジョブがあり、それらをすべて削除して保存します。
  5. ポート番号を変更します。
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.