it-swarm-pt.tech

SSH estranho, segurança do servidor, eu poderia ter sido hackeado

Não tenho certeza se fui invadido ou não.

Tentei fazer login através do SSH e ele não aceitaria minha senha. O login raiz está desativado, então fui resgatar e ativei o login root e consegui efetuar login como root. Como root, tentei alterar a senha da conta afetada com a mesma senha com a qual havia tentado efetuar o login antes, passwd respondeu com "senha inalterada". Alterei a senha para outra coisa e consegui efetuar login, alterei a senha novamente para a senha original e consegui novamente.

Eu chequei auth.log para alterações de senha, mas não encontrou nada útil.

Também verifiquei vírus e rootkits e o servidor retornou isso:

ClamAV:

"/bin/busybox Unix.Trojan.Mirai-5607459-1 FOUND"

RKHunter:

"/usr/bin/lwp-request Warning: The command '/usr/bin/lwp-request' has been replaced by a script: /usr/bin/lwp-request: a /usr/bin/Perl -w script, ASCII text executable

Warning: Suspicious file types found in /dev:"

Note-se que meu servidor não é amplamente conhecido. Também alterei a porta SSH e ativei a verificação em duas etapas.

Estou preocupado que fui hackeado e alguém está tentando me enganar, "está tudo bem, não se preocupe com isso".

30
PhysiOS

Como J Rock, acho que isso é um falso positivo. Eu tive a mesma experiência.

Recebi um alarme de 6 servidores diferentes, diferentes e geograficamente separados em um curto espaço de tempo. Quatro desses servidores existiam apenas em uma rede privada. A única coisa que eles tinham em comum era uma recente atualização daily.cld.

Assim, depois de verificar algumas das heurísticas típicas deste cavalo de Tróia sem sucesso, eu carreguei uma caixa de vagabundo com minha linha de base limpa conhecida e executei freshclam. Isso pegou

"daily.cld está atualizado (versão: 22950, ​​sigs: 1465879, nível f: 63, construtor: neo)"

Um subsequente clamav /bin/busybox retornou o mesmo alerta "/ bin/busybox Unix.Trojan.Mirai-5607459-1 FOUND" nos servidores originais.

Finalmente, por uma boa medida, eu também fiz uma caixa vaga do funcionário oficial do Ubuntu caixa e também obtive o mesmo "/ bin/busybox Unix.Trojan.Mirai-5607459-1 ENCONTRADO" (Nota, eu tive que a memória nesta caixa vagrant de seus 512 MB padrão ou o clamscan falhou com 'morto'

Saída completa da nova caixa vagabunda do Ubuntu 14.04.5.

[email protected]:~# freshclam
ClamAV update process started at Fri Jan 27 03:28:30 2017
main.cvd is up to date (version: 57, sigs: 4218790, f-level: 60, builder: amishhammer)
daily.cvd is up to date (version: 22950, sigs: 1465879, f-level: 63, builder: neo)
bytecode.cvd is up to date (version: 290, sigs: 55, f-level: 63, builder: neo)
[email protected]:~# clamscan /bin/busybox
/bin/busybox: Unix.Trojan.Mirai-5607459-1 FOUND

----------- SCAN SUMMARY -----------
Known viruses: 5679215
Engine version: 0.99.2
Scanned directories: 0
Scanned files: 1
Infected files: 1
Data scanned: 1.84 MB
Data read: 1.83 MB (ratio 1.01:1)
Time: 7.556 sec (0 m 7 s)
[email protected]:~#

Então, eu também acredito que isso provavelmente será um falso positivo.

Eu direi que o rkhunter não me deu a referência: "/ usr/bin/lwp-request Warning", então talvez o PhysiOS Quantum esteja tendo mais do que uma questão.

Edição: acabei de notar que eu nunca disse explicitamente que todos esses servidores são Ubuntu 14.04. Outras versões podem variar?

30
cayleaf

A assinatura do ClamAV para o Unix.Trojan.Mirai-5607459-1 é definitivamente muito ampla, então é provável que seja um falso positivo, conforme observado por J Rock e cayleaf.

Por exemplo, qualquer arquivo que possua todas as seguintes propriedades corresponderá à assinatura:

  • é um arquivo ELF;
  • ele contém a string "watchdog" exatamente duas vezes;
  • ele contém a string "/ proc/self" pelo menos uma vez;
  • ele contém a sequência "busybox" pelo menos uma vez.

(A assinatura inteira é um pouco mais complicada, mas as condições acima são suficientes para uma correspondência.)

Por exemplo, você pode criar um arquivo com:

$ echo 'main() {printf("watchdog watchdog /proc/self busybox");}' > innocent.c
$ gcc -o innocent innocent.c
$ clamscan --no-summary innocent
innocent: Unix.Trojan.Mirai-5607459-1 FOUND

Qualquer build do busybox (no Linux) geralmente corresponderá às quatro propriedades listadas acima. Obviamente, é um arquivo ELF e definitivamente conterá a string "busybox" muitas vezes. executa "/ proc/self/exe" para executar certos applets. Por fim, "watchdog" ocorre duas vezes: uma vez como nome do applet e uma vez dentro da string "/var/run/watchdog.pid".

45
nomadictype

Isso apareceu hoje para mim também na minha verificação do ClamAV para/bin/busybox. Gostaria de saber se o banco de dados atualizado tem um erro.

6
J Rock

Tentei fazer login através do SSH e ele não aceitaria minha senha. O login raiz está desativado, então fui resgatar e ativei o login root e consegui efetuar login como root. Como root, tentei alterar a senha da conta afetada com a mesma senha com a qual havia tentado efetuar o login antes, o passwd respondeu com "a senha inalterada". Alterei a senha para outra coisa e consegui efetuar login, alterei a senha novamente para a senha original e consegui novamente.

Parece senha expirada. Definir a senha (com sucesso) pela raiz redefine o relógio de expiração da senha. Você poderia verificar/var/log/secure (ou qualquer outro equivalente do Ubuntu) e descobrir por que sua senha foi rejeitada.

4
Xalorous