উবুন্টুতে crond64 / tsm ভাইরাস


14

ব্যথাজনকভাবে ধীর হয়ে যাওয়ার জন্য আমি আমার হোম সার্ভারটি লক্ষ্য করেছি। সমস্ত সংস্থান দুটি প্রক্রিয়া দ্বারা গ্রাস করা হয়েছে: crond64এবং tsm। যদিও আমি তাদের বারবার হত্যা করেছি, তারা বারবার প্রদর্শন করে চলেছে।

একই সময়ে, আমার আইএসপি আমার আইপি ঠিকানা থেকে উত্পন্ন অপব্যবহার সম্পর্কে আমাকে অবহিত করছিল:

==================== Excerpt from log for 178.22.105.xxx====================
Note: Local timezone is +0100 (CET)
Jan 28 20:55:44 shared06 sshd[26722]: Invalid user admin from 178.22.105.xxx
Jan 28 20:55:44 shared06 sshd[26722]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=178.22.105.xxx
Jan 28 20:55:45 shared06 sshd[26722]: Failed password for invalid user admin from 178.22.105.xxx port 33532 ssh2
Jan 28 20:55:46 shared06 sshd[26722]: Received disconnect from 178.22.105.xxx port 33532:11: Bye Bye [preauth]
Jan 28 20:55:46 shared06 sshd[26722]: Disconnected from 178.22.105.xxx port 33532 [preauth]
Jan 28 21:12:05 shared06 sshd[30920]: Invalid user odm from 178.22.105.xxx
Jan 28 21:12:05 shared06 sshd[30920]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=178.22.105.xxx
Jan 28 21:12:07 shared06 sshd[30920]: Failed password for invalid user odm from 178.22.105.xxx port 45114 ssh2
Jan 28 21:12:07 shared06 sshd[30920]: Received disconnect from 178.22.105.xxx port 45114:11: Bye Bye [preauth]
Jan 28 21:12:07 shared06 sshd[30920]: Disconnected from 178.22.105.xxx port 45114 [preauth]

আমি এর পরান ছিল এই ওয়েবসাইট যে আমি একটি ভাইরাস থাকতে পারে। আমি আমার পুরো হার্ড ড্রাইভটি স্ক্যান করে সোফাস এভি চালিয়েছি এবং এটিতে কিছু ভাইরাস পাওয়া গেছে /tmp/.mountfs/.rsync। তাই আমি পুরো ফোল্ডারটি মুছে ফেলেছিলাম এবং ভেবেছিলাম এটি এটি। কিন্তু এটি পরে ফিরে আসতে থাকে। তারপরে আমি ব্যবহারকারী ক্রোন ফাইলটি পরীক্ষা করেছিলাম /var/spool/cron/crontabs/kodi(আমার মিডিয়া সার্ভারের কোডির ব্যবহারকারী ব্যবহার করে ভাইরাসটি চলছিল), যা দেখতে এইরকম দেখাচ্ছে:

# DO NOT EDIT THIS FILE - edit the master and reinstall.
# (cron.d installed on Sun Feb  3 21:52:03 2019)
# (Cron version -- $Id: crontab.c,v 2.13 1994/01/17 03:20:37 vixie Exp $)
* */12 * * * /home/kodi/.ttp/a/upd>/dev/null 2>&1
@reboot /home/kodi/.ttp/a/upd>/dev/null 2>&1
5 8 * * 0 /home/kodi/.ttp/b/sync>/dev/null 2>&1
@reboot /home/kodi/.ttp/b/sync>/dev/null 2>&1
#5 1 * * * /tmp/.mountfs/.rsync/c/aptitude>/dev/null 2>&1

দেখে মনে হচ্ছে, ভাইরাসটি অন্য ডিরেক্টরি থেকে একবারে একবারে আবার সক্রিয় হচ্ছে। ডিরেক্টরিটির সামগ্রীটি হ'ল:

>>> ls /home/kodi/.ttp/*
/home/kodi/.ttp/cron.d  /home/kodi/.ttp/dir2.dir

/home/kodi/.ttp/a:
a  bash.pid  config.txt  crond32  crond64  cronda  crondb  dir.dir  pools.txt  run  stop  upd

/home/kodi/.ttp/b:
a  dir.dir  rsync  run  stop  sync

/home/kodi/.ttp/c:
aptitude  dir.dir  go  ip  lib  n  p  run  slow  start  stop  tsm  tsm32  tsm64  v  watchdog

আমি এই সমস্ত ফাইল এবং ক্রন্টাবের এন্ট্রি মুছে ফেলেছি এবং এটি দিয়ে আশা করি, সমস্যার সমাধান হয়েছে। তবে, আমি কীভাবে এটি ভাইরাস ছিল, কীভাবে এটি ধরা পড়েছি (এটি কোডির সাথে সংযুক্ত থাকতে পারে) এবং এটি প্রতিরোধে আমি কী করতে পারি তা আগ্রহী হব। ভাগ্যক্রমে, এটি কেবলমাত্র সীমিত অধিকার সহ কোনও ব্যবহারকারীর কাছ থেকে চলছিল তবে এটি মোকাবেলা করতে এখনও বিরক্তিজনক ছিল।


সম্পাদনা

যদিও আমি আপাতদৃষ্টিতে এই ভাইরাসটির সমস্ত অবশেষ অপসারণ করেছি (আমি সম্পূর্ণ টিএমপি ফোল্ডারটিও সরিয়ে দিয়েছি), ভাইরাসটি ফিরে আসতে থাকে। আমি বুঝতে পেরেছিলাম যে সেখানে একটি প্রবেশিকা রয়েছে ~/.ssh/authorized_hosts, যা আমি অবশ্যই নিজেকে রাখি নি। এটি ব্যাখ্যা করে যে কীভাবে বারবার ভাইরাসটি প্রতিস্থাপন করা যেতে পারে। আমি এন্ট্রিটি সরিয়েছি, সেই ব্যবহারকারীর জন্য অক্ষম লগইন, অক্ষম পাসওয়ার্ড লগইন (কেবল পাসকি), এবং এখন একটি অ-মানক বন্দর ব্যবহার করি।

আমি আমার সার্ভারে এলোমেলো ব্যবহারকারীর নামগুলির সাথে বারবার লগইন করার প্রচেষ্টাও লক্ষ্য করেছি, সম্ভবত কোনও একরকম বট দ্বারা (লগটি আমার আইপি থেকে প্রেরণ করা আমার আইপি থেকে প্রেরণ করা বিস্ময়করর মতো দেখায়) me আমার অনুমান যে আমার কম্পিউটারটি প্রথম স্থানে সংক্রামিত হয়েছিল।


4
মনে রাখবেন যে যদি আপনাকে ইতিমধ্যে একবার হ্যাক করা হয়ে থাকে, তবে ডিস্কে অন্য যে কোনও জিনিস সংক্রামিত বা ভঙ্গ হয়েছে এমন সম্ভাবনা রয়েছে। আপনার সম্ভবত সিস্টেমটি উড়িয়ে দেওয়া এবং এটি পুনর্নির্মাণ করা উচিত। ভাইরাস খুব কমই কেবল একটি অ্যাপ্লিকেশনকে প্রভাবিত করে এবং সাধারণত ডিস্ক জুড়ে ছড়িয়ে পড়ে।
টমাস ওয়ার্ড

আমি রাজী! যদি কেউ আপনার সিস্টেমে আসে তবে সিস্টেমটি মুছে
ফেলুন

অবশ্যই, এটি সংরক্ষণের সমাধান হবে। তবে আমি কেবল এই সিস্টেমটি পুনরায় ইনস্টল করেছি এবং যা ঘটেছে তা না বুঝে এটি পুনরায় ইনস্টল করতে চাইনি। ফাইলগুলি অনুলিপি করে, এটি কেবল আবার শুরু করা যেতে পারে এবং আমি কেবল আমার সময় নষ্ট করতাম।
এরিক

সম্ভবত আপনার সিস্টেমে লঙ্ঘন হয়েছিল তাই ভাইরাস কীভাবে পুনরায় সংক্রামিত হতে থাকে। আমি সিস্টেমটি নাক করে দিয়ে নতুন করে শুরু করব।
টমাস ওয়ার্ড

1
আমিও ব্যবহারকারীর .bashrc ফাইলের মধ্যে সংক্রমণ পাওয়া যায়নি: cd ~ && rm -rf .ssh && mkdir .ssh && echo "ssh-rsa AAAAB... ...VKPRK+oRw== mdrfckr">>.ssh/authorized_keys && chmod 700 .ssh && cd .ssh && chmod 600 authorized_keys && cd ~। আমি cp /etc/skel/.bashrc /home/mycompromiseduser/এটিকে সরাতে কেবল একটি করেছি।
চলুন

উত্তর:


6

আমারও ছিল। পরিষেবাটি RSSync ইনস্টল করেছে এবং কিছু ফাইল পেয়েছে। আমি dota.tar.gzব্যবহারকারীর ফোল্ডারে একটি ফাইল পেয়েছি ।

  1. ফায়ারওয়ালে বহির্গামী 22 পোর্ট অস্বীকার করুন (যেমন ufw deny out 22)
  2. pkill -KILL -u kodi (এটি ব্যবহারকারীর কোডির সমস্ত চলমান প্রক্রিয়া মেরে ফেলে)
  3. deluser kodi
  4. ইউজারহোম সরান
  5. আরএসএনসি সরান (আমি এটি ব্যবহার করিনি)
  6. অপসারণ /tmp/.mountfs*

দয়া করে নোট করুন এটি সম্ভবত কোডির জন্য জিনিসগুলি নষ্ট করবে। পুরো ইউজারহোমটি সরিয়ে ফেলার পরিবর্তে আপনি সম্ভবত কেবল dota.tar.gz(যদি এটি উপস্থিত থাকেন) এবং .ttpফোল্ডারটি মুছে ফেলতে পারেন ( ক্রন্টব পরিষ্কার করতে ভুলবেন না!)

পুনরায় বুট করার পরে আমি আর কোনও বহির্গামী সংযোগ দেখতে পাচ্ছি না (এর সাথে চেক করুন:

netstat -peanut | grep 22

দুর্বল পাসওয়ার্ড সহ কোনও ব্যবহারকারীর মাধ্যমে সংক্রমণ ঘটেছে (ডিফল্ট পাসওয়ার্ডের সাথে কোডি অ্যাকাউন্ট হতে পারে?)


1

আমার একই ম্যালওয়্যার ছিল। এন্ট্রিটি ssh (অ-ডিফল্ট পোর্ট) এর মাধ্যমে একটি অরক্ষিত ব্যবহারকারীর পাসওয়ার্ডের মাধ্যমে ছিল, প্রায় 24 ঘন্টা পরে সনাক্ত করা হয়েছিল এবং সরানো হয়েছিল।

আমার ক্ষেত্রে, ব্যবহারকারীর নিম্নলিখিতরূপে crontab পরিবর্তন, মোছা rm -rdf /tmp/.*, rm -rdf /home/user/.*, killall -u userযথেষ্ট ছিল।


1

আজ এই জিনিস ছিল। আমি সিস্টেমটি পরীক্ষা করে দেখেছি যে আমার সিস্টেমে প্রায় একমাস ধরে এর চিহ্ন রয়েছে এবং আমি বুঝতে পারি না যে আমার আইএসপি আমাকে অবহিত না করা পর্যন্ত এই জিনিসটি সেখানে ছিল।

দুর্বল পাসওয়ার্ড সহ ম্যালওয়্যারটি অনিরাপদ ব্যবহারকারীর মাধ্যমে এসেছিল। আমার ক্ষেত্রে এটি সময়সীমা ব্যবহারকারী ছিল। অনুপ্রবেশ লগ এইরকম লাগছিল।

98341:Dec 23 23:45:36 fileserver sshd[23179]: Accepted password for timemachine from 46.101.149.19 port 45573 ssh2

এটি এক্সএমআরজি মাইনার এবং একটি শোষণ যা একই দুর্বলতার জন্য অন্যান্য আইপিগুলি স্ক্যান করে। সুতরাং, একটি মেশিন অন্য কয়েক ডজনকে ক্যাসকেড-সংক্রামিত করতে পারে। আপনি এই সাইবারট্যাক সম্পর্কে এমএস রিপোর্টটি একবার দেখে নিতে পারেন ।

এই ধরণের আক্রমণ থেকে সর্বাধিক কার্যকর সুরক্ষা হ'ল fail2banআপনার সার্ভারে ইনস্টল করা, এর সাথে এসএসএস অ্যাক্সেস রেট-সীমাবদ্ধ করা ufwএবং আপনার সার্ভারে এসএসএইচ অ্যাক্সেস করতে পারে এমন সিস্টেমগুলির জন্য হোয়াইটলিস্ট এসিএল ব্যবহার করা।


0

আমার ক্ষেত্রে সংক্রমণের উত্স একজন ব্যবহারকারী যখন আমি তার অ্যাকাউন্ট তৈরি করেছিলেন তখন থেকেই তার অনিরাপদ পাসওয়ার্ডটি পরিবর্তন করতে চান না (অবশ্যই আমি তাকে বলেছিলাম)। আমার সার্ভারটি সম্ভবত কিছু তালিকায় রয়েছে: আমি ব্যর্থ 2 বাউন থেকে এক সপ্তাহে প্রায় 1000 নিষেধাজ্ঞা পাই (কোনও ভুল ব্যবহারকারী বা পাসওয়ার্ড দিয়ে 4 বার চেষ্টা করি এবং এক মাসের জন্য অবরুদ্ধ হয়ে থাকি)


0

এটি আমার সমাধান (ক্রিপো মাইনিংয়ের ম্যালওয়্যার হিসাবে নামও):

  1. crontab কাজ pkill
  2. এই ক্রোনটব কাজের বিবরণ ইঙ্গিত করা যাই হোক না কেন পরিষ্কার করুন:
  3. /tmp/.xxx/.rsync/c/aptitude>/dev/null 2> & 1 সরান
  4. সর্বাধিক গুরুত্বপূর্ণ (এটি আমার কাছে আসতে অনেক দীর্ঘ সময় নেয়), অন্যথায় এটি ফিরে আসতে থাকবে: crontab চালান (এই ব্যবহারকারীর কাছে) আপনি উপরে পাবেন ক্রন্টব জব রয়েছে, সেগুলি মুছুন, সংরক্ষণ করুন।
  5. পোর্ট নম্বর পরিবর্তন করুন।
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.