SSH แปลก ๆ ความปลอดภัยของเซิร์ฟเวอร์ฉันอาจถูกแฮก

30

ฉันไม่แน่ใจว่าฉันถูกแฮ็กหรือไม่

ฉันพยายามล็อคอินผ่าน SSH และไม่ยอมรับรหัสผ่านของฉัน การเข้าสู่ระบบรูทถูกปิดการใช้งานดังนั้นฉันจึงไปช่วยและเปิดใช้งานการเข้าสู่ระบบรูทและสามารถเข้าสู่ระบบในฐานะรูทได้ ในฐานะที่เป็น root ฉันพยายามที่จะเปลี่ยนรหัสผ่านของบัญชีที่ได้รับผลกระทบด้วยรหัสผ่านเดียวกันกับที่ฉันพยายามเข้าสู่ระบบมาก่อนpasswdตอบด้วย "รหัสผ่านไม่เปลี่ยนแปลง" ฉันเปลี่ยนรหัสผ่านเป็นอย่างอื่นและสามารถเข้าสู่ระบบจากนั้นเปลี่ยนรหัสผ่านกลับไปเป็นรหัสผ่านเดิมและเข้าสู่ระบบอีกครั้งได้

ฉันตรวจสอบauth.logการเปลี่ยนแปลงรหัสผ่านแล้ว แต่ไม่พบว่ามีประโยชน์อะไร

ฉันสแกนหาไวรัสและรูทคิทแล้วเซิร์ฟเวอร์ก็ส่งคืนสิ่งนี้:

ClamAV:

"/bin/busybox Unix.Trojan.Mirai-5607459-1 FOUND"

rkhunter สำหรับแพลตฟอร์มวินโดวส์:

"/usr/bin/lwp-request Warning: The command '/usr/bin/lwp-request' has been replaced by a script: /usr/bin/lwp-request: a /usr/bin/perl -w script, ASCII text executable

Warning: Suspicious file types found in /dev:"

ควรสังเกตว่าเซิร์ฟเวอร์ของฉันไม่เป็นที่รู้จักอย่างกว้างขวาง ฉันยังเปลี่ยนพอร์ต SSH และเปิดใช้งานการยืนยันแบบสองขั้นตอน

ฉันเป็นห่วงฉันถูกแฮ็คและมีคนพยายามหลอกฉันว่า "ทุกอย่างเรียบร้อยดีไม่ต้องกังวลกับมัน"

— physios
แหล่งที่มา

10

เห็นด้วยกับไมเคิล ดูเหมือนว่า Mirai ใช้รหัสผ่านแรงเดรัจฉานคาดเดาไปยังโฮสต์ลินุกซ์ประนีประนอม - incapsula.com/blog/malware-analysis-mirai-ddos-botnet.html การใช้การพิสูจน์ตัวตนกุญแจสาธารณะจะดีกว่าการเปลี่ยนพอร์ต SSH เพื่อความปลอดภัย IMHO

— Josh Morel

3

@JoshMorel ฉันจะไปต่อและบอกว่าการเปลี่ยนพอร์ต SSH เป็นอันตรายต่อความปลอดภัย มันไม่ได้ช่วยปกป้องอะไรเลย แต่คนที่ทำมันผิดรู้สึกปลอดภัยมากขึ้น ดังนั้นโดยการรู้สึกปลอดภัยมากขึ้นโดยไม่ต้องมีความปลอดภัยมากขึ้นพวกเขาจะแย่ลงกว่าเดิม นอกจากนี้ฉันจะบอกว่าการตรวจสอบ pubkey นั้นไม่ได้ดีไปกว่านี้ แต่เป็นสิ่งที่ต้องทำ

— marcelm

10

"... มันจะไม่ยอมรับรหัสผ่านของฉัน ... มันตอบว่า" รหัสผ่านไม่เปลี่ยนแปลง "... หลังจากเปลี่ยนรหัสผ่านเป็นอย่างอื่นฉันสามารถเข้าสู่ระบบได้ฉันเปลี่ยนรหัสผ่านกลับไปเป็นแบบเดิมและฉันก็ยังสามารถ เพื่อเข้าสู่ระบบ " - ทั้งหมดที่คุณสามารถอธิบายได้ด้วยการพิมพ์ผิดในรหัสผ่านของคุณ (หรือเปิดใช้ตัวพิมพ์ใหญ่) ก่อนที่คุณจะไปยังผู้ใช้กู้ภัย

— marcelm

2

การตรวจจับโทรจัน busybox โดย clamav ก็เกิดขึ้นกับฉันเช่นกันในเช้าวันนี้เป็นครั้งแรกในระบบ ~ 100 ครั้ง ฉันลงคะแนนในเชิงบวกที่ผิดพลาด ฉันเดาว่า clamav อัปเดตฐานข้อมูล sig ของพวกเขาเพื่อให้มีการเริ่มต้นบวกที่ผิดพลาดนี้ปรากฏขึ้นเมื่อคืนที่ผ่านมา

— JDS

2

บังเอิญ hashsum sha256 ของ busybox ของฉันในระบบเหล่านี้คือ 7fa3a176871de12832ca8a78b646bc6be92f7f528ee81d1c35bf12aa99292b1c เหล่านี้คือระบบ Ubuntu 14.04 และ mtime บน busybox bin คือ 2013-11-14

— JDS

30

เช่นเดียวกับ J Rock ฉันคิดว่านี่เป็นสิ่งที่ผิด ฉันมีประสบการณ์เดียวกัน

ฉันได้รับการเตือนภัยจากเซิร์ฟเวอร์ที่แตกต่างกัน 6 เซิร์ฟเวอร์ที่แยกจากกันในเชิงภูมิศาสตร์ในช่วงเวลาสั้น ๆ 4 ของเซิร์ฟเวอร์เหล่านี้มีอยู่ในเครือข่ายส่วนตัวเท่านั้น สิ่งหนึ่งที่พวกเขามีเหมือนกันคือการอัพเดทรายวันล่าสุด

ดังนั้นหลังจากตรวจสอบการวิเคราะห์พฤติกรรมโดยทั่วไปของโทรจันนี้ไม่ประสบความสำเร็จฉันก็บูตกล่องคนจรจัดที่มีพื้นฐานการทำความสะอาดที่รู้จักและวิ่ง Freshclam สิ่งนี้คว้า

"Daily.cld เป็นรุ่นล่าสุด (เวอร์ชัน: 22950, sigs: 1465879, ระดับ f: 63, ตัวสร้าง: ใหม่)"

การclamav /bin/busyboxแจ้งเตือน "/ bin / busybox Unix.Trojan.Mirai-5607459-1 FOUND" ที่เหมือนกันกลับมาแจ้งเตือนบนเซิร์ฟเวอร์ดั้งเดิม

สุดท้ายสำหรับมาตรการที่ดีผมยังไม่ได้ทำกล่องจรจัดจากเจ้าหน้าที่ของ Ubuntu กล่องและยังมีเดียวกัน "/ bin / busybox Unix.Trojan.Mirai-5607459-1 พบ" (หมายเหตุผมต้องขึ้นหน่วยความจำในกล่องนี้คนจรจัด จาก 512MB หรือ clamscan ที่เป็นค่าเริ่มต้นล้มเหลวด้วย 'kill')

เอาท์พุทเต็มรูปแบบจาก Ubuntu สด 14.04.5 กล่องคนจรจัด

root@vagrant-ubuntu-trusty-64:~# freshclam
ClamAV update process started at Fri Jan 27 03:28:30 2017
main.cvd is up to date (version: 57, sigs: 4218790, f-level: 60, builder: amishhammer)
daily.cvd is up to date (version: 22950, sigs: 1465879, f-level: 63, builder: neo)
bytecode.cvd is up to date (version: 290, sigs: 55, f-level: 63, builder: neo)
root@vagrant-ubuntu-trusty-64:~# clamscan /bin/busybox
/bin/busybox: Unix.Trojan.Mirai-5607459-1 FOUND

----------- SCAN SUMMARY -----------
Known viruses: 5679215
Engine version: 0.99.2
Scanned directories: 0
Scanned files: 1
Infected files: 1
Data scanned: 1.84 MB
Data read: 1.83 MB (ratio 1.01:1)
Time: 7.556 sec (0 m 7 s)
root@vagrant-ubuntu-trusty-64:~#

ดังนั้นฉันเชื่อว่านี่น่าจะเป็นผลบวกที่ผิดพลาด

ฉันจะบอกว่า rkhunter ไม่ได้ให้การอ้างอิง: "/ usr / bin / lwp-Request Warning" ดังนั้น PhysiOS Quantum อาจมีปัญหามากกว่าหนึ่งเรื่อง

แก้ไข: เพิ่งสังเกตเห็นว่าฉันไม่เคยพูดอย่างชัดเจนว่าเซิร์ฟเวอร์เหล่านี้ทั้งหมดเป็น Ubuntu 14.04 รุ่นอื่น ๆ อาจแตกต่างกันไป?

— cayleaf
แหล่งที่มา

1

ฉันจะเปลี่ยนการรับรองความถูกต้อง SSH ของฉันสำหรับ pubkey และฉันจะพยายามตรวจสอบการเชื่อมต่อเครือข่าย แต่จริงๆแล้วมันเป็นเรื่องแปลกจริง ๆ เพราะฉันได้คัดลอกและวางรหัสผ่านและมันก็ยังปฏิเสธอยู่ ฉันควรทำอย่างไรกับ / usr / bin / lwp-request

— PhysiOS

1

เช้านี้ฉันยังได้รับการแจ้งเตือนนี้บนเซิร์ฟเวอร์ Ubuntu 14.04 ฉันเปรียบเทียบ ( sha1sum) /bin/busyboxไฟล์เซิร์ฟเวอร์ของฉันกับไฟล์เดียวกันบน VM ท้องถิ่นที่สร้างจากอิมเมจ Ubuntu และพวกเขาเหมือนกัน ดังนั้นฉันจึงให้คะแนนบวกที่ผิดด้วย

— agregoire

3

@PhysiOSQuantum ไม่มีอะไร นั่นเป็นข้อผิดพลาดที่เป็นบวก - lwp-request เป็นเครื่องมือที่เกี่ยวข้องกับโมดูล Perl ( metacpan.org/pod/LWP ) ดังนั้นจึงเป็นเรื่องปกติอย่างสมบูรณ์ที่จะเป็นสคริปต์

— duskwuff

45

ลายเซ็น ClamAV สำหรับ Unix.Trojan.Mirai-5607459-1 นั้นกว้างเกินไปแน่นอนดังนั้นมันจึงเป็นผลบวกที่ผิดพลาดตามที่ J Rock และ cayleaf ตั้งข้อสังเกต

ตัวอย่างเช่นไฟล์ใด ๆ ที่มีคุณสมบัติต่อไปนี้ทั้งหมดจะตรงกับลายเซ็น:

มันเป็นไฟล์เอลฟ์;
มันมีสตริง "สุนัขเฝ้าบ้าน" ว่าสองครั้ง;
มันมีสตริง "/ proc / self" อย่างน้อยหนึ่งครั้ง
มันมีสตริง "busybox" อย่างน้อยหนึ่งครั้ง

(ลายเซ็นทั้งหมดนั้นซับซ้อนกว่าเล็กน้อย แต่เงื่อนไขข้างต้นเพียงพอสำหรับการแข่งขัน)

ตัวอย่างเช่นคุณสามารถสร้างไฟล์ดังกล่าวด้วย:

$ echo 'main() {printf("watchdog watchdog /proc/self busybox");}' > innocent.c
$ gcc -o innocent innocent.c
$ clamscan --no-summary innocent
innocent: Unix.Trojan.Mirai-5607459-1 FOUND

การสร้าง busybox ใด ๆ (บน Linux) มักจะตรงกับคุณสมบัติสี่อย่างที่ฉันระบุไว้ด้านบน เห็นได้ชัดว่าเป็นไฟล์ ELF และแน่นอนจะมีสตริง "busybox" หลายครั้ง มันรัน "/ proc / self / exe"เพื่อเรียกใช้แอปเพล็ตบางอย่าง ในที่สุด "watchdog" เกิดขึ้นสองครั้ง: หนึ่งครั้งเป็นชื่อแอปเพล็ตและอีกครั้งหนึ่งในสตริง "/var/run/watchdog.pid"

— nomadictype
แหล่งที่มา

20

ฉันจะอ่านลายเซ็นนั้นและคนอื่น ๆ จาก ClamAV ได้ที่ไหนจากความอยากรู้

— Délisson Junio

2

ฉันรู้ว่าบางคนฉลาดกว่าฉันจะสามารถอธิบายได้ว่าทำไมมันถึงเป็นบวก ขอบคุณ!

— cayleaf

3

@ Délisson Junio: สร้างไดเรกทอรีที่ว่างเปล่า cd ลงไปแล้วเรียกใช้sigtool --unpack-current dailyเพื่อคลายไฟล์ Daily.cvd (หรือsigtool --unpack-current mainเพื่อคลายไฟล์ main.cvd) หากคุณ grep ไฟล์ผลลัพธ์สำหรับ "Unix.Trojan.Mirai-5607459-1" คุณควรหาลายเซ็นซึ่งจะเกิดขึ้นใน daily.ldb รูปแบบลายเซ็นมีการอธิบายในsignatures.pdf (มาพร้อมกับแพคเกจ clamav-docs ใน Ubuntu)

— Nomadictype

6

สิ่งนี้เพิ่งปรากฏขึ้นในวันนี้สำหรับฉันเช่นกันในการสแกน ClamAV ของฉันสำหรับ / bin / busybox ฉันสงสัยว่าฐานข้อมูลที่อัปเดตมีข้อผิดพลาดหรือไม่

— เจร็อค
แหล่งที่มา

2

สแกน / bin / busybox บน Ubuntu 14.04 LTS ที่มีฐานข้อมูล ClamAV ล่าสุด มันกลับติดเชื้อ นี่คือการบวกปลอม IMO

— J Rock

2

ฉันส่งรายงานเชิงบวกที่ผิดพลาดให้กับ ClamAV ฉันยังพบว่าผู้เล่น vmware ไบนารีปรากฏขึ้นว่าติดเชื้อโทรจันเดียวกัน เป็นไปได้ว่าพวกเขามีรหัส busybox

— J Rock

4

ฉันพยายามเข้าสู่ระบบผ่าน SSH และไม่ยอมรับรหัสผ่านของฉัน การเข้าสู่ระบบรูทถูกปิดการใช้งานดังนั้นฉันจึงไปช่วยและเปิดใช้งานการเข้าสู่ระบบรูทและสามารถเข้าสู่ระบบในฐานะรูทได้ ในฐานะที่เป็น root ฉันพยายามที่จะเปลี่ยนรหัสผ่านของบัญชีที่ได้รับผลกระทบด้วยรหัสผ่านเดียวกันกับที่ฉันพยายามเข้าสู่ระบบก่อน passwd ตอบกลับด้วย "รหัสผ่านไม่เปลี่ยนแปลง" ฉันเปลี่ยนรหัสผ่านเป็นอย่างอื่นและสามารถเข้าสู่ระบบจากนั้นเปลี่ยนรหัสผ่านกลับไปเป็นรหัสผ่านเดิมและเข้าสู่ระบบอีกครั้งได้

ดูเหมือนว่ารหัสผ่านหมดอายุ การตั้งค่ารหัสผ่าน (สำเร็จ) โดยรูทจะรีเซ็ตนาฬิกาหมดอายุรหัสผ่าน คุณสามารถตรวจสอบ / var / log / ปลอดภัย (หรืออะไรก็ตามที่เทียบเท่ากับ Ubuntu) และค้นหาสาเหตุที่รหัสผ่านของคุณถูกปฏิเสธ

— Xalorous
แหล่งที่มา