Netzwelt Provisorium, wenn man den Kinsing Crypto Miner eingefangen hat. (1 Betrachter)

  • Ersteller des Themas
  • #1

treki

Forum-Mitglied
Black-Market: 0 / 0 / 0
29 Mai 2020
130
17 %
Ich weiss, um das sauber zu kriegen, muss man den Server neu aufsetzen.
Aber damit man die CPU Auslastung erst mal wieder runter kriegt, bis man Zeit hat, die Kiste neu zu installieren bzw man weiss, wo die Malware reingeschneit kam,
hier mal mein Vorgehn.
In /var/spool/cron/crontabs eine Datei namens ftp Eigentümer root:root Rechte 644 erstellen.
Folgendes Script in /root speichern und Rechte 700 geben.

malwarekill.sh

Code:
#!/bin/sh

kill $(pidof kdevtmpfsi)
kill $(pidof kinsing)

rm /tmp/kdevtmpfsi
rm /tmp/kinsing
rm /var/tmp/kdevtmpfsi
rm /var/tmp/kinsing

echo "everything is good here" > /tmp/kdevtmpfsi
echo "everything is good here" > /tmp/kinsing
echo "everything is good here" > /var/tmp/kdevtmpfsi
echo "everything is good here" > /var/tmp/kinsing

chmod 644 /tmp/kdevtmpfsi
chmod 644 /tmp/kinsing
chmod 644 /var/tmp/kdevtmpfsi
chmod 644 /var/tmp/kinsing
Es reicht, das Script immer nur beim booten auszuführen.
Also als root crontab -e
Code:
@reboot /root/malwarekill.sh

Zusätzlich kann man noch nur root das Recht geben, Cronjobs zu erstellen (nicht unbedingt nötig).
In /etc eine leere Datei cron.deny und eine Datei cron.allow mit Inhalt root erstellen.

Das ganze läuft bei mir auf einem Debian 10 Server.
 

Skull³

Moderator mit Herz
Community-Team
Teamleitung
Black-Market: 0 / 0 / 0
4 April 2019
5.099
100 %
Was hast du denn alles auf deinem Server installiert, wie haette die Malware denn auf deinen Rechner kommen koennen ? Ist es nicht so das diese hauptsaechlich Docker Container als Ziel nimmt ?
 
Reactions: d0c
  • Ersteller des Themas
  • #3

treki

Forum-Mitglied
Black-Market: 0 / 0 / 0
29 Mai 2020
130
17 %
Ja. Docker, nginx und php-fpm wird verdächtigt.
Es hat vor ein paar wenigen Tagen ein Update von EHCP Force gegeben wegen dem. Da hatte nginx ein Leck.
EHCP installiert nginx auch, wenn man apache2 auswählt.
Nun ja, für mich zu spät der Update. Drauf ist es jetzt :(
Habe die Kiste gestern auf den Stand vom 7.11. gesetzt und die aktuelle DB importiert.
Der Miner hat sich nicht mehr gezeigt.

Folgende Serverfehler kommen aber immer noch ab und an:

Code:
Server-Fehlerprotokoll


    ErrorException: [E_WARNING] Cannot modify header information - headers already sent by (output started at php://input:1) src/XF/Http/Response.php:386

    Generiert von: Unbekanntes Konto 16 November 2020 um 13:46

Stack-Trace

#0 [internal function]: XF::handlePhpError(2, '[E_WARNING] Can...', '/var/www/vhosts...', 386, Array)
#1 src/XF/Http/Response.php(386): header('X-Frame-Options...', false)
#2 src/XF/Http/Response.php(283): XF\Http\Response->sendHeaders()
#3 src/XF.php(441): XF\Http\Response->send(Object(XF\Http\Request))
#4 index.php(20): XF::runApp('XF\\Pub\\App')
#5 {main}




Status der Anfrage

array(4) {
  ["url"] => string(49) "/threads/arcade-bartop-im-selbstbau.457/add-reply"
  ["referrer"] => string(77) "https://www.mydomain.ch/threads/arcade-bartop-im-selbstbau.457/#post-1349"
  ["_GET"] => array(0) {
  }
  ["_POST"] => array(9) {
    ["message_html"] => string(6800) "wwwert12qa21qccv xxx02xx-df4-2w-33we-1


Cheap Online Pharmacy  Liothyrone in UK/GB  online visa no rx ;
Online Pharmacy  Liothyrone  in AUSTRALIA no prior prescription  ;
[b]Price Of  Liothyrone in USA  with no rx [/b] ;

[url=http://totalworldstore.com/shop/go.php?sid=9] [u][b]>>> Want to buy cheapest quality Liothyrone? CLICK HERE! <<<[/b][/u] [/url]

Discount Price  Liothyrone in UK/GB  without rx  ;
How To Buy  Liothyrone in USA  fast shipping no prescription



ENTER HERE! SAVE MONEY WITH US! >>>> https://bit.ly/your1pharm



Ordering  Liothyrone c.o.d. no rx  | Liothyrone  pay cod no prescription

.
.
.
.
http://www.ridingboard.com/board/viewtopic.php?f=11&t=7125 http://www.doripesco.ro/forum/viewtopic.php?f=15&t=83&p=263892#p263892 http://conexiuni.autismromania.ro/forums/topic/buy-online-cheapest-imidil-in-australia-shipped-by-cash-on-delivery-imidil-next-day-delivery-no-rx/ http://www.doripesco.ro/forum/viewtopic.php?f=15&t=83&p=265120#p265120 http://www.ambervibe.com/forum/viewtopic.php?f=37&t=368742 http://www.doripesco.ro/forum/viewtopic.php?f=15&t=115&p=263897#p263897 http://littlebikers-nl.messageboard.nl/forum/posting.php?mode=reply&f=2&t=143929&sid=db1b5aa289efc306edf51dbb132e40d5 http://www.hydromep.com/forum/welcome-mat/148111-cheap-price-of-algofren-in-australia-no-prescription-no-fees-algofren-non-prescription-needed http://littlebikers-nl.messageboard.nl/forum/posting.php?mode=reply&f=2&t=143929 https://myway.pt/shawn-mendes-cria-fundacao-para-ajudar-jovens/62336?unapproved=1183899&moderation-hash=e925c74446a2b43b2b297b69219efa09#comment-1183899 http://fpemg.com.br/forum/viewtopic.php?f=15&t=145154 http://www.nsu-club.com/forum/viewtopic.php?f=6&t=1552908 http://www.vmalumni.com/forums/topic/where-can-i-buy-tetorinen-saturday-delivery-tetorinen-overnight-without-prescription/ https://pixarplanet.com/forums/viewtopic.php?f=10&t=230638 http://xn--90ahc1ac7aeq.xn--p1ai/communication/forum/forum2/14203-rabestrom-prezzo http://www.zeiss-services.com/index.php/forum/welcome-mat/402536-where-to-buy-inderal-la-from-india-inderal-la-overnight-no-prescription?start=168#1117301 http://www.vmalumni.com/forums/topic/buying-cordafen-in-internetnext-day-delivery-cordafen-no-rx-required/ http://highhopeshuntclub.com/viewtopic.php?f=1&t=1108841 http://www.zeiss-services.com/index.php/forum/welcome-mat/451397-purchase-cheap-online-monoket-kansas-overnight-no-prescription http://forum.secondnaturesuccess.com/showthread.php?tid=338830 http://www.ridingboard.com/board/viewtopic.php?f=11&t=7066 http://www.dev.hydes.in/analytix1/kunena-2013-02-09/analytix-users-category/3481568-what-is-the-generic-of-cyclostad-in-uk-gb-c-o-d-no-prescription-cyclostad-no-prescription-next-day-delivery#3482658 http://www.thaisylphyclub.com/index.php?topic=20188.msg974009#msg974009 http://www.zeiss-services.com/index.php/forum/welcome-mat/402740-pharmacies-that-sell-garcinia-cambogia-in-uk-gb-garcinia-cambogia-online-visa-no-rx?start=246#1117597 http://www.sinopcity.com/forum/showthread.php?tid=13621 http://www.zeiss-services.com/index.php/forum/welcome-mat/402538-cheapest-price-to-order-inderal-la-in-uk-gb-inderal-la-non-prescription-needed#788687 http://www.vmalumni.com/forums/topic/buy-online-cheapest-ranimed-in-canada-online-no-prescription-ranimed-no-prescription-overnight/ http://forum.freekalmykia.org/index.php?/topic/1279-order-at-low-price-red-viagra-in-philippines-online-pharmacy-overnight-shipping/&page=3#comment-14133 "
    ["_xfUsername"] => string(7) "tolikkk"
    ["no_captcha"] => string(1) "1"
    ["submit"] => string(0) ""
    ["last_date"] => string(10) "1604787961"
    ["last_known_date"] => string(10) "1604787961"
    ["klPage"] => string(0) ""
    ["_xfToken"] => string(8) "********"
  }
}
Und zwar immer mit anderem Spam-Text, welcher nichts mit meinem Forum zutun hat.
 
  • Ersteller des Themas
  • #4

treki

Forum-Mitglied
Black-Market: 0 / 0 / 0
29 Mai 2020
130
17 %
Er ist vorhin wieder gekommen.
Das Script muss alle Minuten ausgeführt werden.
*/1 * * * * /root/malwarekill.sh > /dev/null 2>&1
 

Skull³

Moderator mit Herz
Community-Team
Teamleitung
Black-Market: 0 / 0 / 0
4 April 2019
5.099
100 %
Wie wieder gekommen, dann sollte doch recht schnell herauszufinden sein, wie er ins System kommt.
 
  • Ersteller des Themas
  • #6

treki

Forum-Mitglied
Black-Market: 0 / 0 / 0
29 Mai 2020
130
17 %
Der hat sich irgendwo eingenistet. Der braucht den Cron nicht mehr.
Ich denke, in einer Lib oder einem Treiber....ev sogar mehreren Orten.
Ich werde bei Gelegenheit die Kiste neu installieren.
 

Dieses Thema betrachten gerade (Benutzer: 0, Gäste: 1)