Вопросы Теги

вирус crond64/tsm в Ubuntu

Недавно я заметил, что мой домашний сервер стал крайне медленным. Все ресурсы были съедены двумя процессами: crond64 и tsm. Даже при том, что я неоднократно уничтожал их, они продолжили показ снова и снова.

В то же время мой ISP уведомлял меня о злоупотреблении, происходящем из моего IP-адреса:

==================== Excerpt from log for 178.22.105.xxx====================
Note: Local timezone is +0100 (CET)
Jan 28 20:55:44 shared06 sshd[26722]: Invalid user admin from 178.22.105.xxx
Jan 28 20:55:44 shared06 sshd[26722]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=178.22.105.xxx
Jan 28 20:55:45 shared06 sshd[26722]: Failed password for invalid user admin from 178.22.105.xxx port 33532 ssh2
Jan 28 20:55:46 shared06 sshd[26722]: Received disconnect from 178.22.105.xxx port 33532:11: Bye Bye [preauth]
Jan 28 20:55:46 shared06 sshd[26722]: Disconnected from 178.22.105.xxx port 33532 [preauth]
Jan 28 21:12:05 shared06 sshd[30920]: Invalid user odm from 178.22.105.xxx
Jan 28 21:12:05 shared06 sshd[30920]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=178.22.105.xxx
Jan 28 21:12:07 shared06 sshd[30920]: Failed password for invalid user odm from 178.22.105.xxx port 45114 ssh2
Jan 28 21:12:07 shared06 sshd[30920]: Received disconnect from 178.22.105.xxx port 45114:11: Bye Bye [preauth]
Jan 28 21:12:07 shared06 sshd[30920]: Disconnected from 178.22.105.xxx port 45114 [preauth]

Я был снабжен подсказкой этим веб-сайтом, что у меня мог бы быть вирус. Я выполняю Sophos AV, сканируя мой весь жесткий диск, и действительно он нашел некоторый вирус в /tmp/.mountfs/.rsync. Таким образом, я удалил всю папку и думал, что это - она. Но это продолжало возвращаться впоследствии. Затем я регистрировал пользовательский файл крона /var/spool/cron/crontabs/kodi (вирус выполнял использование пользователя моего медиасервера kodi), который был похож на это:

# DO NOT EDIT THIS FILE - edit the master and reinstall.
# (cron.d installed on Sun Feb  3 21:52:03 2019)
# (Cron version -- $Id: crontab.c,v 2.13 1994/01/17 03:20:37 vixie Exp $)
* */12 * * * /home/kodi/.ttp/a/upd>/dev/null 2>&1
@reboot /home/kodi/.ttp/a/upd>/dev/null 2>&1
5 8 * * 0 /home/kodi/.ttp/b/sync>/dev/null 2>&1
@reboot /home/kodi/.ttp/b/sync>/dev/null 2>&1
#5 1 * * * /tmp/.mountfs/.rsync/c/aptitude>/dev/null 2>&1

Это похоже, вирус повторно активирует себя время от времени из другого каталога. Содержание того каталога:

>>> ls /home/kodi/.ttp/*
/home/kodi/.ttp/cron.d  /home/kodi/.ttp/dir2.dir

/home/kodi/.ttp/a:
a  bash.pid  config.txt  crond32  crond64  cronda  crondb  dir.dir  pools.txt  run  stop  upd

/home/kodi/.ttp/b:
a  dir.dir  rsync  run  stop  sync

/home/kodi/.ttp/c:
aptitude  dir.dir  go  ip  lib  n  p  run  slow  start  stop  tsm  tsm32  tsm64  v  watchdog

Я удалил все эти файлы и записи в crontab и надежде с этим, проблема решена. Однако мне было бы интересно, каково вирус это было, как я, возможно, поймал его (он мог бы быть подключен к Kodi), и что я могу сделать для предотвращения его. К счастью это работало только от пользователя с ограниченными правами, но это все еще было раздражающим для контакта с.

Править

Хотя я по-видимому удалил все остатки этого вируса (я также удалил всю tmp папку), вирус продолжал возвращаться. Я понял, что была запись в ~/.ssh/authorized_hosts, который я определенно не помещал сам. Это объясняет, как вирус мог неоднократно пересаживаться. Я удалил запись, отключенный вход в систему для того пользователя, отключил вход в систему пароля (только ключ доступа), и используйте нестандартный порт теперь.

Я также заметил повторенные попытки входа в систему на своем сервере со случайными именами пользователей, вероятно, некоторым ботом (журнал выглядел удивительно подобным тому, запущенному от моего IP, отправленного мне моим ISP). Я предполагаю, именно так мой компьютер был заражен во-первых.

12
задан 17 February 2019 в 09:53

5 ответов

У меня было то же. Сервис установил rsync и получил некоторые файлы. Я нашел a dota.tar.gz файл в пользовательской папке.

  1. отклоните порт 22 выхода в брандмауэре (например. ufw deny out 22)
  2. pkill -KILL -u kodi (это уничтожает все рабочие процессы пользователя kodi),
  3. deluser kodi
  4. удалите userhome
  5. удалите rsync (я не использовал это),
  6. удалить /tmp/.mountfs*

Обратите внимание, это, вероятно, разрушит вещи для kodi. Вместо того, чтобы удалить целый userhome можно, вероятно, только удалить dota.tar.gz (если это там), и .ttp папка (не забывают чистить crontab!)

После перезагрузки я не вижу, любые исходящие соединения больше (сверьтесь: 

netstat -peanut | grep 22

Заражение произошло через пользователя со слабым паролем (kodi учетная запись с паролем по умолчанию, возможно?)

6
ответ дан 23 November 2019 в 03:44

В моем случае источник заражения был пользователем thad dind't, изменяют его небезопасный пароль от того, когда я создал его учетную запись (конечно, я сказал ему). Мой сервер, вероятно, находится в некоторых списках: я двигаюсь, 1 000 запретов в неделю от fail2ban (попробуйте 4 раза неправильным пользователем или паролем и будьте заблокированы в течение месяца),

0
ответ дан 23 November 2019 в 03:44

Это - мое решение (также имена как crypo горная промышленность вредоносного программного обеспечения):

  1. pkill crontab задания
  2. уберите что описание этого crontab задания, указывающее т.е.:/home/xxx/.ttp/a/upd>/dev/null 2> &1
  3. удалите/tmp/.xxx/.rsync/c/aptitude>/dev/null 2> &1
  4. самое важное (это берет мне длинный путь для получения там), иначе это будет продолжать возвращаться: выполненный crontab-e (этому пользователю) Вы найдете выше crontab задания, там, удалите всех их, сохраните его.
  5. измените номер порта.
0
ответ дан 23 November 2019 в 03:44

У меня было то же вредоносное программное обеспечение. Запись была через пароль пользователя несохранения через ssh (порт не по умолчанию), была обнаружена и удалена примерно после 24 часов.

В моем случае, удаляя crontab пользователя, rm -rdf /tmp/.*, rm -rdf /home/user/.*, killall -u user был достаточно.

1
ответ дан 23 November 2019 в 03:44

У меня сегодня была эта штука. Я исследовал систему и обнаружил, что моя система имеет свои следы около месяца, и я не осознавал, что это было там, пока мой интернет-провайдер не уведомил меня.

Вредоносное ПО пришло от небезопасного пользователя со слабым паролем. В моем случае это был пользователь Timemachine. Журнал проникновения выглядел так. 

98341:Dec 23 23:45:36 fileserver sshd[23179]: Accepted password for timemachine from 46.101.149.19 port 45573 ssh2

Это майнер XMRIG и эксплойт, который сканирует другие IP-адреса на наличие тех же слабых мест. Итак, одна машина может каскадно заразить десятки других. Вы можете ознакомиться с отчетом MS об этой кибератаке .

Самая эффективная защита от такого рода атак - это установка fail2ban на ваш сервер, ограничение скорости доступа по ssh с помощью ufw и использование белого списка ACL для систем, которые могут получить доступ к SSH на ваш сервер.

1
ответ дан 27 December 2019 в 14:48

Другие вопросы по тегам:

Похожие вопросы: