Подозрительная запись в crontab, запускающая «xribfa4» каждые 15 минут
Используйте двойные кавычки.
Когда вы используете одинарные кавычки, вы получаете именно то, что набрали, в то время как двойные кавычки интерполируются, как в примере ниже:-
$ x=1
$ echo 'This is $x'
This is $x
$ echo "This is $x"
This is 1
Это ботнет для майнинга DDG, как он работает:
- использование уязвимости RCE
- изменение crontab
- загрузка соответствующей программы майнинга (, написанной с помощью go)
- запуск процесса майнинга
DDG :Ботнет для майнинга, нацеленный на серверы баз данных
SystemdMiner, когда ботнет заимствует инфраструктуру другого ботнета
U&L:Как уничтожить вредоносное ПО майнера в инстансе AWS EC2? (скомпрометированный сервер)
Выясните, какие порты TCP и UDP действительно необходимы, а затем заблокируйте все остальные порты в брандмауэре маршрутизатора. Возможно , эти записи crontab больше не появятся.
Вы можете увидеть, какие порты открыты, а какие общедоступны, с помощьюShields Up! функция на grc.com .
Если сначала не заблокировать неиспользуемые порты, он может повторно заразиться, пока он пытается установить патч.