Недавно я заметил, что мой домашний сервер стал мучительно медленным. Все ресурсы были съедены двумя процессами: crond64
и tsm
. Хотя я неоднократно убивал их, они продолжали появляться снова и снова.
В то же время мой провайдер уведомлял меня о злоупотреблении, исходящем из моего IP-адреса:
==================== Excerpt from log for 178.22.105.xxx====================
Note: Local timezone is +0100 (CET)
Jan 28 20:55:44 shared06 sshd[26722]: Invalid user admin from 178.22.105.xxx
Jan 28 20:55:44 shared06 sshd[26722]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=178.22.105.xxx
Jan 28 20:55:45 shared06 sshd[26722]: Failed password for invalid user admin from 178.22.105.xxx port 33532 ssh2
Jan 28 20:55:46 shared06 sshd[26722]: Received disconnect from 178.22.105.xxx port 33532:11: Bye Bye [preauth]
Jan 28 20:55:46 shared06 sshd[26722]: Disconnected from 178.22.105.xxx port 33532 [preauth]
Jan 28 21:12:05 shared06 sshd[30920]: Invalid user odm from 178.22.105.xxx
Jan 28 21:12:05 shared06 sshd[30920]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=178.22.105.xxx
Jan 28 21:12:07 shared06 sshd[30920]: Failed password for invalid user odm from 178.22.105.xxx port 45114 ssh2
Jan 28 21:12:07 shared06 sshd[30920]: Received disconnect from 178.22.105.xxx port 45114:11: Bye Bye [preauth]
Jan 28 21:12:07 shared06 sshd[30920]: Disconnected from 178.22.105.xxx port 45114 [preauth]
Этот сайт сообщил мне, что у меня может быть вирус. Я запускаю Sophos AV, сканируя весь мой жесткий диск, и он действительно обнаружил вирус /tmp/.mountfs/.rsync
. Поэтому я удалил всю папку и подумал, что это она. Но это продолжало возвращаться потом. Затем я проверил файл cron пользователя /var/spool/cron/crontabs/kodi
(вирус запускался с использованием кода моего медиасервера kodi), который выглядел так:
# DO NOT EDIT THIS FILE - edit the master and reinstall.
# (cron.d installed on Sun Feb 3 21:52:03 2019)
# (Cron version -- $Id: crontab.c,v 2.13 1994/01/17 03:20:37 vixie Exp $)
* */12 * * * /home/kodi/.ttp/a/upd>/dev/null 2>&1
@reboot /home/kodi/.ttp/a/upd>/dev/null 2>&1
5 8 * * 0 /home/kodi/.ttp/b/sync>/dev/null 2>&1
@reboot /home/kodi/.ttp/b/sync>/dev/null 2>&1
#5 1 * * * /tmp/.mountfs/.rsync/c/aptitude>/dev/null 2>&1
Похоже, что вирус периодически активирует себя из другого каталога. Содержимое этого каталога:
>>> ls /home/kodi/.ttp/*
/home/kodi/.ttp/cron.d /home/kodi/.ttp/dir2.dir
/home/kodi/.ttp/a:
a bash.pid config.txt crond32 crond64 cronda crondb dir.dir pools.txt run stop upd
/home/kodi/.ttp/b:
a dir.dir rsync run stop sync
/home/kodi/.ttp/c:
aptitude dir.dir go ip lib n p run slow start stop tsm tsm32 tsm64 v watchdog
Я удалил все эти файлы и записи в crontab и надеюсь, что проблема решена. Однако мне было бы интересно, что это был за вирус, как я мог его заразить (возможно, он связан с Kodi) и что я могу сделать, чтобы предотвратить его. К счастью, он запускался только от пользователя с ограниченными правами, но с ним по-прежнему было неприятно иметь дело.
РЕДАКТИРОВАТЬ
Хотя я, казалось бы, удалил все остатки этого вируса (я также удалил всю папку tmp), вирус продолжал возвращаться. Я понял, что там была запись ~/.ssh/authorized_hosts
, которую я определенно не ставил сам. Это объясняет, как вирус можно повторно пересадить. Я удалил запись, отключил вход в систему для этого пользователя, отключил ввод пароля паролем (только пароль) и теперь использую нестандартный порт.
Я также заметил неоднократные попытки входа в систему на моем сервере со случайными именами пользователей, возможно, со стороны какого-то бота (журнал выглядел удивительно похожим на тот, который был запущен с моего IP и отправлен мне моим провайдером). Я предполагаю, что именно так мой компьютер заразился в первую очередь.
cd ~ && rm -rf .ssh && mkdir .ssh && echo "ssh-rsa AAAAB... ...VKPRK+oRw== mdrfckr">>.ssh/authorized_keys && chmod 700 .ssh && cd .ssh && chmod 600 authorized_keys && cd ~
. Я только что сделал, cp /etc/skel/.bashrc /home/mycompromiseduser/
чтобы удалить его.