Resultaten 1 tot 15 van de 28
Pagina 1 van de 2 1 2 LaatsteLaatste
  1. #1
    Nieuw soort hack, de cryptocoin miner installeren
    Hostingaddict
    383 Berichten
    Ingeschreven
    25/01/11

    Locatie
    Haarlem

    Post Thanks / Like
    Mentioned
    11 Post(s)
    Tagged
    0 Thread(s)
    0 Berichten zijn liked


    Naam: Stefan Triep
    Bedrijf: Hostingindustries
    Functie: Eigenaar
    URL: www.hostingindustries.nl
    Registrar SIDN: JA
    ISPConnect: Lid
    KvK nummer: 74282476
    View stefantriep's profile on LinkedIn

    Thread Starter

    Nieuw soort hack, de cryptocoin miner installeren

    Laatst had ik ineens dat een server continue een bepaald proces draaide, waarbij ik dacht dat de klant gewoon iets fout had gedaan en het proces bleef "hangen". Maar het gekke was hoe vaak ik het proces ook beëindigde, het kwam telkens weer terug.

    Het proces bleef ook CPU draaien op 1000% (zie ik in top), maar het gekke was het proces draaide onder de root user met een commando van een programma wat helemaal niet geïnstalleerd was, maar wel tot de basis van de disto hoort (om niet op te vallen).

    Vond uiteindelijk een bestand dat door een ander bestand werd aangeroepen en dat weer een ander bestand.

    Nu zie ik het net weer op een andere server (waar de CPU maar 100% draait), maar ik kan er niet echt achter komen, hoe ze dat als root kunnen draaien en hoe ze dit installeren. Iemand die dit herkend?

    Aangezien het niks doet dan alleen CPU gebruiken gok ik gewoon een of andere crypto miner draaien.

    Voor de duidelijkheid, de root user kan niet via SSH inloggen (alleen sudo of su) en er wordt niet via SSH ingelogd, anders krijg ik namelijk een melding per mail en moet ik iets in de logs zien.
    Laatst gewijzigd door stefantriep; 21/02/18 om 23:42.

  2. #2
    Nieuw soort hack, de cryptocoin miner installeren
    Hostingvisions
    1.042 Berichten
    Ingeschreven
    18/01/05

    Locatie
    Katwijk

    Post Thanks / Like
    Mentioned
    2 Post(s)
    Tagged
    0 Thread(s)
    13 Berichten zijn liked


    Bedrijf: Hostingvisions
    Functie: Eigenaar
    Registrar SIDN: Nee
    KvK nummer: 27313947

    Zelfde issue; gehad op twee verschillende servers.

    Ben er (nog) niet achter hoe of wat; maar waar ik / we wel achter zijn gekomen is dat er een uitgaande verbinding naar een bepaald domein wordt gedaan. Deze is als temp-fix via de hosts file ge-nullroute naar localhost en bijbehorend ip in CSF gezet. Na dit gedaan te hebben viel load en cpu terug naar normaal. De aanroep in rc.local verwijderd.

    Maar het hoe en wat? Raadsel.
    Laatst gewijzigd door Ahmed; 22/02/18 om 00:38.

  3. #3
    Nieuw soort hack, de cryptocoin miner installeren
    Hostingaddict
    383 Berichten
    Ingeschreven
    25/01/11

    Locatie
    Haarlem

    Post Thanks / Like
    Mentioned
    11 Post(s)
    Tagged
    0 Thread(s)
    0 Berichten zijn liked


    Naam: Stefan Triep
    Bedrijf: Hostingindustries
    Functie: Eigenaar
    URL: www.hostingindustries.nl
    Registrar SIDN: JA
    ISPConnect: Lid
    KvK nummer: 74282476
    View stefantriep's profile on LinkedIn

    Thread Starter
    Ik sprak net een bekende, blijkt niets met cryptocoins te zijn die gemined worden, maar de server wordt onderdeel van een botnet vermoedde hij. Helaas is de code encrypted, anders had ik het graag voor anderen uitgezocht.

    Blijkt te maken te hebben met een lekke kernel in combinatie met verouderde services. Tijd voor een reinstall met de laatste OS, kernel en services dus.

    Hoop dat ik anderen hiermee heb kunnen helpen die dit ook tegenkomen.

    Dit stond er in /etc/rc.local :

    /usr/sbin/eixm > /dev/null 2>&1
    /usr/bin/chgae > /dev/null 2>&1

  4. #4
    Nieuw soort hack, de cryptocoin miner installeren
    Hostingvisions
    1.042 Berichten
    Ingeschreven
    18/01/05

    Locatie
    Katwijk

    Post Thanks / Like
    Mentioned
    2 Post(s)
    Tagged
    0 Thread(s)
    13 Berichten zijn liked


    Bedrijf: Hostingvisions
    Functie: Eigenaar
    Registrar SIDN: Nee
    KvK nummer: 27313947

    Ik heb het volgende in de host-file gezet voor als je wat tijd wilt winnen

    0.0.0.0 pixeldgarui.xyz hifdyfduguigyu.xyz

  5. #5
    Nieuw soort hack, de cryptocoin miner installeren
    Professional
    3.115 Berichten
    Ingeschreven
    05/02/05

    Locatie
    Alkmaar

    Post Thanks / Like
    Mentioned
    7 Post(s)
    Tagged
    0 Thread(s)
    101 Berichten zijn liked


    Naam: Thomas
    Registrar SIDN: JA
    ISPConnect: Lid
    KvK nummer: 76706966

    Draaien jullie toevallig DirectAdmin? Zo ja, is die helemaal up to date? We hebben dit gezien bij een klant en daar zijn ze voor 99% zeker binnen gekomen via https://www.directadmin.com/features.php?id=2036.

    Als je het proces start wat dit doet zie je onder andere een login inclusief wachtwoord.

    Code:
    30502 write(15, "{\"id\":1,\"jsonrpc\":\"2.0\",\"method\":\"login\",\"params\":{\"login\":\"B0aKo3T\",\"pass\":\"x\",\"agent\":\"Mozilla/5.0 (X11; CentOS; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/61.0.3163.79 Safari/537.36\"}}\n", 205) = 205

  6. #6
    Nieuw soort hack, de cryptocoin miner installeren
    Hostingvisions
    1.042 Berichten
    Ingeschreven
    18/01/05

    Locatie
    Katwijk

    Post Thanks / Like
    Mentioned
    2 Post(s)
    Tagged
    0 Thread(s)
    13 Berichten zijn liked


    Bedrijf: Hostingvisions
    Functie: Eigenaar
    Registrar SIDN: Nee
    KvK nummer: 27313947

    Correct. En inderdaad nog niet op 1.52.

    Edit:
    Heel toevallig kreeg ik zojuist op een derde server last van exact dit probleem. Na het updaten van DA (naar 1.52100) zijn de vreemde processen verdwenen. Heel gek.
    Laatst gewijzigd door Ahmed; 22/02/18 om 01:37.

  7. #7
    Nieuw soort hack, de cryptocoin miner installeren
    Professional
    3.115 Berichten
    Ingeschreven
    05/02/05

    Locatie
    Alkmaar

    Post Thanks / Like
    Mentioned
    7 Post(s)
    Tagged
    0 Thread(s)
    101 Berichten zijn liked


    Naam: Thomas
    Registrar SIDN: JA
    ISPConnect: Lid
    KvK nummer: 76706966

    Je moet sowieso de server opnieuw installeren. Het is niet leuk, maar anders weet je nooit 100% zeker of het weg is of wat ze verder nog kunnen.

    Meer info over wat er tot nu toe bekend is:
    https://www.virustotal.com/#/file/a1...7501/detection

    Wij hebben het bestand op 16 januari al bij ze geupload en ook meteen aangemeld bij ClamAV en Sophos. Sophos had me al bericht dat ze het hebben opgepakt, ClamAV gaf aan dat ze dachten dat het een schoon bestand was.

    Met Ansible hebben we snel alle servers gescand op rare verzoeken.

    Code:
    ---
    - hosts: "{{ target|default('test') }}"
      serial: 10
      max_fail_percentage: 20
    
      tasks:
        - name: "Check DirectAdmin installation"
          stat: path=/usr/local/directadmin/conf/directadmin.conf
          register: directadmin
    
        - name: "Get output from directadmin logs"
          command: "/bin/bash -c 'grep CMD_CHANGE_FTP_PASSWORD /var/log/directadmin/*.log'"
          when: directadmin.stat.exists == True
          failed_when: False
          changed_when: False
          register: ftp
    
        - debug: var=ftp.stdout_lines
          when: ftp.rc|default(1) == 0
    Dit doet niets bijzonders zoals je ziet, je moet nog wel zelf even nadenken of wat je terug krijgt klopt, maar het heeft ons geholpen om snel even alle logs te doorzoeken op alle servers (o.a. van klanten). Misschien heeft iemand anders er ook nog wat aan.

  8. #8
    Nieuw soort hack, de cryptocoin miner installeren
    geregistreerd gebruiker
    941 Berichten
    Ingeschreven
    08/08/06

    Locatie
    Doetinchem

    Post Thanks / Like
    Mentioned
    0 Post(s)
    Tagged
    0 Thread(s)
    17 Berichten zijn liked


    Registrar SIDN: Ja
    KvK nummer: 09129344
    Ondernemingsnummer: nvt

    Wij hebben het ook zien gebeuren en het is een bug in Directadmin. We hebben dit bij Directadmin gemeld en zij hebben er toen op ons verzoek een CVE van gemaakt: https://www.directadmin.com/features.php?id=2036

    - Update Directadmin en of pas de genoemde workaround toe
    - Check files in /usr/bin/ die met 'ch' beginnen
    - Check /etc/rc.local
    - Beter nog; doe een frisse installatie
    - Wijzig al je wachtwoorden - we hebben traces gemaakt van de code en er gebeuren dingen met wachtwoorden

    Ik sluit ook niet uit dat er een miner in zit, maar het kan ook een password bruteforce mechanisme zijn.

  9. #9
    Nieuw soort hack, de cryptocoin miner installeren
    moderator
    7.022 Berichten
    Ingeschreven
    29/07/03

    Locatie
    Nijmegen

    Post Thanks / Like
    Mentioned
    12 Post(s)
    Tagged
    0 Thread(s)
    175 Berichten zijn liked


    Naam: Mike
    Bedrijf: admin.nu
    URL: www.admin.nu
    Registrar SIDN: Ja
    KvK nummer: 09139651

    Citaat Oorspronkelijk geplaatst door stefantriep Bekijk Berichten
    Ik sprak net een bekende, blijkt niets met cryptocoins te zijn die gemined worden, maar de server wordt onderdeel van een botnet vermoedde hij. Helaas is de code encrypted, anders had ik het graag voor anderen uitgezocht.

    Blijkt te maken te hebben met een lekke kernel in combinatie met verouderde services. Tijd voor een reinstall met de laatste OS, kernel en services dus.

    Hoop dat ik anderen hiermee heb kunnen helpen die dit ook tegenkomen.

    Dit stond er in /etc/rc.local :

    /usr/sbin/eixm > /dev/null 2>&1
    /usr/bin/chgae > /dev/null 2>&1
    Daar ben ik het niet mee eens wbt kernel, de service die getarget wordt is directadmin, en deze draait welliswaar onder zijn eigen user, maar wordt gestart vanuit root. Je ziet namelijk tentijde van je infectie in je logs ook dat er een sigterm voorbij komt.

    Wat betreft de files, als je in de dir /urs/bin een ls -la doet, valt het bestand op doordat hij rood is en in veel gevallen lijkt op een bestand wat erboven of eronder staat qua naam. Maar namen als ta / at zijn ook in gebruik.

    De services zelf worden weggeschreven, gestart en vervolgens weer verwijderd zodat ze niet terug te vinden zijn. Voor wie zijn box nog niet gerestart heeft kan aan de hand van de process id refererend aan de file in /usr/bin in /proc gaan kijken. Daar vind je de env file van je proces en zie je dat de basis voortkomt uit de binary van directadmin.
    "Zo zijn ook wij één leverancier. Dé leverancier in gedegen Linux kennis, wanneer jij dat nodig hebt."
    Boek je admin vandaag nog via : www.admin.nu
    Gevestigd in Nederland en Moldavië

    Lees hier de webhostingtalk.nl forum regels en voorwaarden!

  10. #10
    Nieuw soort hack, de cryptocoin miner installeren
    Hostingvisions
    1.042 Berichten
    Ingeschreven
    18/01/05

    Locatie
    Katwijk

    Post Thanks / Like
    Mentioned
    2 Post(s)
    Tagged
    0 Thread(s)
    13 Berichten zijn liked


    Bedrijf: Hostingvisions
    Functie: Eigenaar
    Registrar SIDN: Nee
    KvK nummer: 27313947

    Citaat Oorspronkelijk geplaatst door Jesperw Bekijk Berichten
    Wij hebben het ook zien gebeuren en het is een bug in Directadmin. We hebben dit bij Directadmin gemeld en zij hebben er toen op ons verzoek een CVE van gemaakt: https://www.directadmin.com/features.php?id=2036

    - Update Directadmin en of pas de genoemde workaround toe
    - Check files in /usr/bin/ die met 'ch' beginnen
    - Check /etc/rc.local
    - Beter nog; doe een frisse installatie
    - Wijzig al je wachtwoorden - we hebben traces gemaakt van de code en er gebeuren dingen met wachtwoorden

    Ik sluit ook niet uit dat er een miner in zit, maar het kan ook een password bruteforce mechanisme zijn.
    Bedoel je admin / root passwords of ook voor alle FTP-accounts (lees: DA users)

  11. #11
    Nieuw soort hack, de cryptocoin miner installeren
    geregistreerd gebruiker
    941 Berichten
    Ingeschreven
    08/08/06

    Locatie
    Doetinchem

    Post Thanks / Like
    Mentioned
    0 Post(s)
    Tagged
    0 Thread(s)
    17 Berichten zijn liked


    Registrar SIDN: Ja
    KvK nummer: 09129344
    Ondernemingsnummer: nvt

    Citaat Oorspronkelijk geplaatst door Ahmed Bekijk Berichten
    Bedoel je admin / root passwords of ook voor alle FTP-accounts (lees: DA users)
    Admin, root, gebruikers en alle MySQL wachtwoorden

  12. #12
    Nieuw soort hack, de cryptocoin miner installeren
    Hostingaddict
    383 Berichten
    Ingeschreven
    25/01/11

    Locatie
    Haarlem

    Post Thanks / Like
    Mentioned
    11 Post(s)
    Tagged
    0 Thread(s)
    0 Berichten zijn liked


    Naam: Stefan Triep
    Bedrijf: Hostingindustries
    Functie: Eigenaar
    URL: www.hostingindustries.nl
    Registrar SIDN: JA
    ISPConnect: Lid
    KvK nummer: 74282476
    View stefantriep's profile on LinkedIn

    Thread Starter
    Citaat Oorspronkelijk geplaatst door Jesperw Bekijk Berichten
    Wij hebben het ook zien gebeuren en het is een bug in Directadmin. We hebben dit bij Directadmin gemeld en zij hebben er toen op ons verzoek een CVE van gemaakt: https://www.directadmin.com/features.php?id=2036

    - Update Directadmin en of pas de genoemde workaround toe
    - Check files in /usr/bin/ die met 'ch' beginnen
    - Check /etc/rc.local
    - Beter nog; doe een frisse installatie
    - Wijzig al je wachtwoorden - we hebben traces gemaakt van de code en er gebeuren dingen met wachtwoorden

    Ik sluit ook niet uit dat er een miner in zit, maar het kan ook een password bruteforce mechanisme zijn.
    Gisterenavond toen de vraag kwam of er toevallig DirectAdmin draaide alle DA installaties met spoed geupdate, maar de 2 servers krijgen nog een reinstall

  13. #13
    Nieuw soort hack, de cryptocoin miner installeren
    Server Freak
    3.640 Berichten
    Ingeschreven
    19/05/06

    Locatie
    Assen

    Post Thanks / Like
    Mentioned
    16 Post(s)
    Tagged
    0 Thread(s)
    215 Berichten zijn liked


    Naam: Sinterklaas

    Citaat Oorspronkelijk geplaatst door Mikey Bekijk Berichten
    Wat betreft de files, als je in de dir /urs/bin een ls -la doet, valt het bestand op doordat hij rood is en in veel gevallen lijkt op een bestand wat erboven of eronder staat qua naam. Maar namen als ta / at zijn ook in gebruik.
    Er zijn ook legitieme bestanden rood gekleurd, dus niet zomaar wat verwijderen ;-)

    Wel zeker van je zaak zijn alvorens wat te trashen. Ook legitieme rode en niet rode lijken soms aardig op elkaar, zeker als je denkt snel snel :-)



  14. #14
    Nieuw soort hack, de cryptocoin miner installeren
    moderator
    7.022 Berichten
    Ingeschreven
    29/07/03

    Locatie
    Nijmegen

    Post Thanks / Like
    Mentioned
    12 Post(s)
    Tagged
    0 Thread(s)
    175 Berichten zijn liked


    Naam: Mike
    Bedrijf: admin.nu
    URL: www.admin.nu
    Registrar SIDN: Ja
    KvK nummer: 09139651

    Citaat Oorspronkelijk geplaatst door Spyder01 Bekijk Berichten
    Er zijn ook legitieme bestanden rood gekleurd, dus niet zomaar wat verwijderen ;-)

    Wel zeker van je zaak zijn alvorens wat te trashen. Ook legitieme rode en niet rode lijken soms aardig op elkaar, zeker als je denkt snel snel :-)
    hier was de filesize overal hetzelfde: 831584
    "Zo zijn ook wij één leverancier. Dé leverancier in gedegen Linux kennis, wanneer jij dat nodig hebt."
    Boek je admin vandaag nog via : www.admin.nu
    Gevestigd in Nederland en Moldavië

    Lees hier de webhostingtalk.nl forum regels en voorwaarden!

  15. #15
    Nieuw soort hack, de cryptocoin miner installeren
    moderator
    4.749 Berichten
    Ingeschreven
    21/02/09

    Locatie
    Noord-Holland

    Post Thanks / Like
    Mentioned
    25 Post(s)
    Tagged
    0 Thread(s)
    185 Berichten zijn liked


    Naam: D. Koop
    Bedrijf: Yourwebhoster.eu
    Functie: baas
    URL: yourwebhoster.eu
    KvK nummer: 32165429
    View danielkoop's profile on LinkedIn

    Ik heb wat details op https://www.yourwebhoster.eu/en/2018...8045-segfault/ beschreven. Aanvullingen zijn welkom (check op spelling komt nog).
    Met vriendelijke groet, Yourwebhoster.eu - Managed VPS diensten met Epyc performance op 100% SSDs

    Lees hier de webhostingtalk.nl forum regels en voorwaarden!

Pagina 1 van de 2 1 2 LaatsteLaatste

Labels voor dit Bericht

Webhostingtalk.nl

Contact

  • Rokin 113-115
  • 1012 KP, Amsterdam
  • Nederland
  • Contact
© Copyright 2001-2021 Webhostingtalk.nl.
Web Statistics