Ubuntu中的crond64 / tsm病毒

最近，我注意到我的家庭服务器变得非常缓慢。所有资源都被两个过程消耗掉了：crond64和tsm。即使我一再杀了他们，他们仍然不断出现。

同时，我的ISP通知我有关我的IP地址引起的滥用：

==================== Excerpt from log for 178.22.105.xxx====================
Note: Local timezone is +0100 (CET)
Jan 28 20:55:44 shared06 sshd[26722]: Invalid user admin from 178.22.105.xxx
Jan 28 20:55:44 shared06 sshd[26722]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=178.22.105.xxx
Jan 28 20:55:45 shared06 sshd[26722]: Failed password for invalid user admin from 178.22.105.xxx port 33532 ssh2
Jan 28 20:55:46 shared06 sshd[26722]: Received disconnect from 178.22.105.xxx port 33532:11: Bye Bye [preauth]
Jan 28 20:55:46 shared06 sshd[26722]: Disconnected from 178.22.105.xxx port 33532 [preauth]
Jan 28 21:12:05 shared06 sshd[30920]: Invalid user odm from 178.22.105.xxx
Jan 28 21:12:05 shared06 sshd[30920]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=178.22.105.xxx
Jan 28 21:12:07 shared06 sshd[30920]: Failed password for invalid user odm from 178.22.105.xxx port 45114 ssh2
Jan 28 21:12:07 shared06 sshd[30920]: Received disconnect from 178.22.105.xxx port 45114:11: Bye Bye [preauth]
Jan 28 21:12:07 shared06 sshd[30920]: Disconnected from 178.22.105.xxx port 45114 [preauth]

我被放倒的这个网站，我可能有病毒。我运行Sophos AV扫描我的整个硬盘驱动器，实际上它在Windows XP中发现了某些病毒/tmp/.mountfs/.rsync。所以我删除了整个文件夹，并以为是这样。但是后来又回来了。然后，我检查了用户cron文件/var/spool/cron/crontabs/kodi（该病毒正在使用我的媒体服务器kodi的用户运行），如下所示：

# DO NOT EDIT THIS FILE - edit the master and reinstall.
# (cron.d installed on Sun Feb  3 21:52:03 2019)
# (Cron version -- $Id: crontab.c,v 2.13 1994/01/17 03:20:37 vixie Exp $)
* */12 * * * /home/kodi/.ttp/a/upd>/dev/null 2>&1
@reboot /home/kodi/.ttp/a/upd>/dev/null 2>&1
5 8 * * 0 /home/kodi/.ttp/b/sync>/dev/null 2>&1
@reboot /home/kodi/.ttp/b/sync>/dev/null 2>&1
#5 1 * * * /tmp/.mountfs/.rsync/c/aptitude>/dev/null 2>&1

病毒似乎每隔一段时间就会从另一个目录重新激活一次。该目录的内容是：

>>> ls /home/kodi/.ttp/*
/home/kodi/.ttp/cron.d  /home/kodi/.ttp/dir2.dir

/home/kodi/.ttp/a:
a  bash.pid  config.txt  crond32  crond64  cronda  crondb  dir.dir  pools.txt  run  stop  upd

/home/kodi/.ttp/b:
a  dir.dir  rsync  run  stop  sync

/home/kodi/.ttp/c:
aptitude  dir.dir  go  ip  lib  n  p  run  slow  start  stop  tsm  tsm32  tsm64  v  watchdog

我删除了所有这些文件和crontab中的条目，并希望以此解决问题。但是，我会对这是什么病毒，如何捕获它（它可能与Kodi连接）以及如何防止它感兴趣感兴趣。幸运的是，它仅从具有有限权限的用户运行，但是仍然很烦人。

编辑

尽管我看似删除了该病毒的所有剩余部分（我也删除了整个tmp文件夹），但该病毒仍在继续传播。我意识到在中有一个条目~/.ssh/authorized_hosts，我绝对不会自己输入。这解释了该病毒如何可以重复地重新种植。我删除了该条目，禁用了该用户的登录名，禁用了密码登录名（仅密码），现在使用了非标准端口。

我还注意到服务器上反复使用随机用户名登录尝试，可能是某种类型的机器人（该日志看起来与ISP发送给我的IP发来的日志非常相似）。我想这就是我的计算机最初被感染的方式。

我也一样 该服务安装了rsync并获取了一些文件。我dota.tar.gz在用户文件夹中找到一个文件。

1. 拒绝防火墙中传出的端口22（例如ufw deny out 22）
2. pkill -KILL -u kodi （这会杀死用户kodi的所有正在运行的进程）
3. deluser kodi
4. 删除userhome
5. 删除rsync（我没有使用过）
6. 去掉 /tmp/.mountfs*

请注意，这可能会破坏kodi的东西。除了删除整个userhome，您可能只能删除dota.tar.gz（如果有）和.ttp文件夹（不要忘记清理crontab！）。

重新启动后，我看不到任何传出的连接（请检查：

netstat -peanut | grep 22

密码是通过密码弱的用户感染的（可能是使用默认密码的kodi帐户？）

我有同样的恶意软件。大约是24小时后，通过ssh（非默认端口）通过未保存的用户密码输入了该条目，并被检测到并删除了。

在我的情况下，删除用户的crontab， ，，rm -rdf /tmp/.* 已经足够了。rm -rdf /home/user/.*killall -u user

今天有这个东西。我已经检查了该系统，发现我的系统具有大约一个月的跟踪记录，直到我的ISP通知我之前，我才意识到这个东西存在。

恶意软件通过密码不安全的不安全用户进入。在我的情况下，它是timemachine用户。渗透日志看起来像这样。

98341:Dec 23 23:45:36 fileserver sshd[23179]: Accepted password for timemachine from 46.101.149.19 port 45573 ssh2

这是XMRIG矿工，它是一种扫描其他IP的相同弱点的漏洞。因此，一台机器可以级联感染其他数十台机器。您可以查看有关此网络攻击的MS报告。

抵御此类攻击的最有效方法是fail2ban在服务器上安装ufw，使用来限制ssh访问的速率，并对可以访问服务器上SSH的系统使用白名单ACL。

就我而言，感染源是用户创建我的帐户后（当然我告诉他）没有更改过他的不安全密码。我的服务器可能在某些列表中：每周我从fail2ban获得约1000个禁令（使用错误的用户或密码尝试4次，并被封锁一个月）

这是我的解决方案（也称为低温采矿恶意软件）：

1. 杀死crontab职位
2. 清除此crontab作业描述指向的所有内容，例如：/home/xxx/.ttp/a/upd>/dev/null 2>＆1
3. 删除/tmp/.xxx/.rsync/c/aptitude>/dev/null 2>＆1
4. 最重要的信息（到达该位置要花很长的时间），否则它将继续返回：运行crontab -e（对此用户），您会发现上面的crontab作业在那里，删除所有它们，然后保存。
5. 更改端口号。