Garip SSH, Sunucu güvenliği, saldırıya uğramış olabilirim

30

Saldırılıp atılmadığımdan emin değilim.

SSH üzerinden giriş yapmaya çalıştım ve şifremi kabul etmedi. Kök girişi devre dışı bırakıldı, bu yüzden kurtarmaya gittim ve kök girişini açtım ve kök olarak giriş yapabildim. Kök olarak, etkilenen hesabın parolasını daha önce oturum açmaya çalıştığım parola ile değiştirmeye çalıştım, passwd"parola değiştirilmedi" yanıtını kullandım. Daha sonra şifreyi başka bir şeyle değiştirdim ve giriş yapabildim, daha sonra şifreyi orijinal şifreyle değiştirdim ve tekrar giriş yapabildim.

auth.logParola değişikliklerini kontrol ettim ama işe yarar bir şey bulamadım.

Ayrıca virüs ve rootkit taraması yaptım ve sunucu şunu verdi:

ClamAV: 

"/bin/busybox Unix.Trojan.Mirai-5607459-1 FOUND"

RKHunter: 

"/usr/bin/lwp-request Warning: The command '/usr/bin/lwp-request' has been replaced by a script: /usr/bin/lwp-request: a /usr/bin/perl -w script, ASCII text executable

Warning: Suspicious file types found in /dev:"

Sunucumun yaygın olarak bilinmediği belirtilmelidir. Ayrıca SSH portunu değiştirdim ve 2 adımlı doğrulamayı etkinleştirdim.

Saldırıldığım için endişeleniyorum ve birisi beni kandırmaya çalışıyor, "her şey yolunda endişelenme".

linux  ssh  security  hacking 
kineziterapistler
kaynak
10
Michael ile aynı fikirde. Mirai, linux hostlarını tehlikeye atmak için kaba kuvvetle hesaplanan parola tahminini kullanıyor gibi görünüyor - incapsula.com/blog/malware-analysis-mirai-ddos-botnet.html . Genel anahtar kimlik doğrulamasını kullanmak, SSH bağlantı noktasını güvenlik amaçlı IMHO için değiştirmekten daha iyi olurdu.
Josh Morel,
3
@JoshMorel Daha ileri gidip SSH portunu değiştirmenin güvenliğe zarar verdiğini söyleyebilirim . Hiçbir şeyin korunmasına yardımcı olmuyor, ancak yanlış yapan insanlar kendilerini daha güvende hissediyorlar . Yani, aslında daha güvenli olmadan daha güvende hissederek, öncekinden daha kötü durumdalar. Ayrıca, pubkey auth'nin sadece daha iyi değil, bir zorunluluk olduğunu söyleyebilirim.
marcelm
10
"... şifremi kabul etmedi ..." şifreyi değiştirmedi "yanıtını verdi ... şifreyi giriş yapabileceğim başka bir şeyle değiştirdikten sonra şifreyi olduğu gibi değiştirdim ve yine de yapabildim giriş yapmak." - Bütün olabilir ifrenizde yazım hataları yapmaktan (veya harf kilidini sahip) Eğer kurtarma kullanıcıya gitmeden önce açıklanabilir.
marcelm
2
clamav tarafından kullanılan meşgul kutu trojan tespiti de başıma geldi, bu sabah ilk defa ~ 100 sistem arasında; Yanlış pozitif oy kullanıyorum. Ben clamav geçen gece bir gecede ortaya çıkan bu yanlış pozitif başlangıç ​​için sig veritabanını güncellediğini tahmin ediyorum
JDS
2
Bu arada, bu sistemlerdeki meşgul kutumun sha256 hashsumu 7fa3a176871de12832ca8a78b646bc6be92f7f528ee81d1c35bf12aa99292b1c'dir. Bunlar ubuntu 14.04 sistemleridir ve meşgul kutusu kutusundaki çalışma süresi 2013-11-14
JDS

Yanıtlar:

30

J Rock gibi, bence bu yanlış bir pozitif. Aynı deneyime sahibim.

Kısa sürede 6 farklı, ayrı, coğrafi olarak ayrılmış sunucudan bir alarm aldım. Bu sunucuların 4 tanesi sadece özel bir ağda mevcuttu. Ortak bir şey son bir daily.cld güncelleme oldu.

Bu nedenle, bu trojanın tipik sezgisel özelliklerinden bazılarını kontrol etmeden kontrol ettikten sonra, bilinen temiz temel çizgime sahip bir serseri kutuyu açtım ve yenice koştum. Bu kaptı

"daily.cld güncel (sürüm: 22950, ​​işaret: 1465879, f seviyesi: 63, oluşturucu: neo)"

Daha sonra clamav /bin/busybox, orijinal sunucularda aynı "/ bin / busybox Unix.Trojan.Mirai-5607459-1 FOUND" uyarısını verdi.

Sonunda, iyi bir önlem almak için Ubuntu'nun resmi kutusundan serseri bir kutu yaptım ve aynı "/ bin / busybox Unix.Trojan.Mirai-5607459-1 FOUND" 'u da aldım. varsayılan 512 MB veya istiridye 'öldürüldü' ile başarısız oldu)

Taze Ubuntu 14.04.5 serseri kutusundan tam çıktı.

root@vagrant-ubuntu-trusty-64:~# freshclam
ClamAV update process started at Fri Jan 27 03:28:30 2017
main.cvd is up to date (version: 57, sigs: 4218790, f-level: 60, builder: amishhammer)
daily.cvd is up to date (version: 22950, sigs: 1465879, f-level: 63, builder: neo)
bytecode.cvd is up to date (version: 290, sigs: 55, f-level: 63, builder: neo)
root@vagrant-ubuntu-trusty-64:~# clamscan /bin/busybox
/bin/busybox: Unix.Trojan.Mirai-5607459-1 FOUND

----------- SCAN SUMMARY -----------
Known viruses: 5679215
Engine version: 0.99.2
Scanned directories: 0
Scanned files: 1
Infected files: 1
Data scanned: 1.84 MB
Data read: 1.83 MB (ratio 1.01:1)
Time: 7.556 sec (0 m 7 s)
root@vagrant-ubuntu-trusty-64:~#

Dolayısıyla bunun yanlış bir pozitif olacağına da inanıyorum.

Ben rkhunter did diyecekler değil , belki kineziterapistler Kuantum birden fazla sorunu yaşayan, "/ usr / bin / LWP-istek Uyarı" referansı: bana ver.

EDIT: Sadece açıkça açıkça bu sunucuların tümünün Ubuntu 14.04 olduğunu söylemediğimi farkettim. Diğer sürümler değişebilir mi?

cayleaf
kaynak
1
Bir pubkey için SSH onayımı değiştireceğim ve ağ bağlantılarını izlemeye çalışacağım, ama dürüst olmak gerekirse bu gerçekten garip çünkü şifreyi kopyalayıp yapıştırdım ve hala reddetti. / Usr / bin / lwp-request ile ne yapmalıyım?
PhysiOS
1
Bu bildirimi bu sabah Ubuntu 14.04 sunucusunda da aldım. sha1sumSunucumun /bin/busyboxdosyasını bir Ubuntu görüntüsünden yaratılan yerel bir VM'deki aynı dosyayla karşılaştırdım ( ) . Ben de yanlış pozitif oy kullanıyorum.
Anlaşma
3
@ PhysiOSQuantum Hiçbir şey. Bu da yanlış bir pozitif - lwp-request, bir Perl modülüyle ( metacpan.org/pod/LWP ) ilgili bir araçtır , bu yüzden senaryo yazması tamamen normaldir.
duskwuff
45

Unix.Trojan.Mirai-5607459-1 için ClamAV imzası kesinlikle çok geniştir, bu nedenle J Rock ve cayleaf tarafından belirtildiği gibi muhtemelen yanlış bir pozitif olabilir.

Örneğin, aşağıdaki özelliklerin tümüne sahip olan herhangi bir dosya imza ile eşleşecektir:

  • bu bir ELF dosyası;
  • tam olarak iki kez "bekçi köpeği" dizesini içerir;
  • en az bir kez "/ proc / self" dizesini içerir;
  • en az bir kez "busybox" dizesini içerir.

(Tüm imza biraz daha karmaşık, ancak yukarıdaki koşullar bir maç için yeterli.)

Örneğin, şöyle bir dosya oluşturabilirsiniz:

$ echo 'main() {printf("watchdog watchdog /proc/self busybox");}' > innocent.c
$ gcc -o innocent innocent.c
$ clamscan --no-summary innocent
innocent: Unix.Trojan.Mirai-5607459-1 FOUND

Herhangi bir meşgul kutusu oluşturma (Linux'ta) genellikle yukarıda listelediğim dört özellikle eşleşir. Açıkçası bir ELF dosyası ve kesinlikle "busybox" dizesini içerecektir. Bu "/ proc / self / exe" yürütür belli uygulamaları çalıştırmak için. Son olarak, "bekçi köpeği" iki kez oluşur: bir kez uygulama adı olarak ve bir kez de "/var/run/watchdog.pid" dizgesinin içinde.

nomadictype
kaynak
20
Bu imzayı ve diğerlerini ClamAV'dan meraktan nerede okuyabilirim?
Délisson Junio
2
Benden daha akıllı birinin neden yanlış bir pozitif olduğunu açıklayabileceğini biliyordum . Teşekkürler!
cayleaf
3
@ Délisson Junio: Boş bir dizin oluşturun, içine cd koyun ve sigtool --unpack-current dailydaily.cvd'yi açmak için çalıştırın (veya sigtool --unpack-current mainmain.cvd'yi açmak için). Elde edilen dosyaları "Unix.Trojan.Mirai-5607459-1" için izlerseniz, daily.ldb içinde olan imzayı bulmanız gerekir. Açıklanmıştır imza biçimi signatures.pdf (Ubuntu clamav-docs paketi ile geliyor).
göçebe türü
6

Bu sadece bugün benim için ve / bin / busybox için ClamAV taramamda ortaya çıktı. Güncelleştirilmiş veritabanında bir hata olup olmadığını merak ediyorum.

J Rock
kaynak
2
En son ClamAV veritabanına sahip herhangi bir Ubuntu 14.04 LTS'de / bin / busybox tarayın. Enfekte olmuş bir hastalıktır. Bu yanlış bir pozitif, IMO.
J Rock,
2
ClamAV’a yanlış bir pozitif rapor gönderdim. Ayrıca vmware player ikili dosyalarının aynı trojandan bulaştığını gösteriyor. Meşgul kutu kodunu eklemiş olabilirler.
J Rock,
4

SSH üzerinden giriş yapmaya çalıştım ve şifremi kabul etmiyordu. Kök girişi devre dışı bırakıldı, bu yüzden kurtarmaya gittim ve kök girişini açtım ve kök olarak giriş yapabildim. Kök olarak, etkilenen hesabın parolasını daha önce giriş yapmaya çalıştığım parola ile değiştirmeye çalıştım, passwd "parola değiştirilmedi" ile yanıt verdi. Daha sonra şifreyi başka bir şeyle değiştirdim ve giriş yapabildim, daha sonra şifreyi orijinal şifreyle değiştirdim ve tekrar giriş yapabildim.

Bu süresi dolmuş şifre gibi geliyor. Şifrenin root tarafından (başarılı bir şekilde) ayarlanması şifre son kullanma saatini sıfırlar. Sen olabilir kontrol / var / log / güvenli (veya Ubuntu eşdeğerdir neyse), şifreniz neden reddedildiğini öğrenmek.

Xalorous
kaynak
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.