SSH lạ, Bảo mật máy chủ, tôi có thể đã bị hack

Tôi không chắc mình đã bị hack hay chưa.

Tôi đã cố đăng nhập thông qua SSH và nó sẽ không chấp nhận mật khẩu của tôi. Root đăng nhập bị vô hiệu hóa vì vậy tôi đã đi cứu và bật đăng nhập root và có thể đăng nhập với quyền root. Với quyền root, tôi đã cố gắng thay đổi mật khẩu của tài khoản bị ảnh hưởng với cùng mật khẩu mà tôi đã cố đăng nhập trước đó, passwdtrả lời là "mật khẩu không thay đổi". Sau đó tôi đã thay đổi mật khẩu thành một thứ khác và có thể đăng nhập, sau đó thay đổi mật khẩu trở lại mật khẩu ban đầu và tôi lại có thể đăng nhập.

Tôi đã kiểm tra auth.logthay đổi mật khẩu nhưng không tìm thấy gì hữu ích.

Tôi cũng đã quét virus và rootkit và máy chủ trả về điều này:

Ngao:

"/bin/busybox Unix.Trojan.Mirai-5607459-1 FOUND"

RKHunter:

"/usr/bin/lwp-request Warning: The command '/usr/bin/lwp-request' has been replaced by a script: /usr/bin/lwp-request: a /usr/bin/perl -w script, ASCII text executable

Warning: Suspicious file types found in /dev:"

Cần lưu ý rằng máy chủ của tôi không được biết đến rộng rãi. Tôi cũng đã thay đổi cổng SSH và kích hoạt xác minh 2 bước.

Tôi lo lắng rằng tôi đã bị hack và ai đó đang cố lừa tôi, "mọi thứ đều ổn, đừng lo lắng về điều đó".

Giống như J Rock, tôi nghĩ rằng đây là một dương tính giả. Tôi đã có kinh nghiệm tương tự.

Tôi đã nhận được một báo động từ 6 máy chủ khác nhau, khác biệt về mặt địa lý trong một khoảng thời gian ngắn. 4 trong số các máy chủ này chỉ tồn tại trên một mạng riêng. Điểm chung của họ là cập nhật Daily.cld gần đây.

Vì vậy, sau khi kiểm tra một số heuristic điển hình của trojan này mà không thành công, tôi đã khởi động một hộp mơ hồ với đường cơ sở sạch đã biết của tôi và chạy Freshclam. Cái này lấy

"Daily.cld được cập nhật (phiên bản: 22950, ​​sigs: 1465879, f-level: 63, builder: neo)"

Sau đó đã clamav /bin/busyboxtrả lại cùng một cảnh báo "/ bin / busybox Unix.Trojan.Mirai-5607459-1 FOUND" trên các máy chủ gốc.

Cuối cùng, đối với biện pháp tốt, tôi cũng đã làm một hộp lang thang từ chính thức của Ubuntu hộp và cũng có cùng "/ bin / busybox Unix.Trojan.Mirai-5.607.459-1 Found" (Lưu ý, tôi đã phải lên bộ nhớ trên hộp lang thang này từ 512MB mặc định hoặc clamscan không thành công với 'kill')

Đầu ra đầy đủ từ hộp mơ hồ Ubuntu 14.04.5 mới.

root@vagrant-ubuntu-trusty-64:~# freshclam
ClamAV update process started at Fri Jan 27 03:28:30 2017
main.cvd is up to date (version: 57, sigs: 4218790, f-level: 60, builder: amishhammer)
daily.cvd is up to date (version: 22950, sigs: 1465879, f-level: 63, builder: neo)
bytecode.cvd is up to date (version: 290, sigs: 55, f-level: 63, builder: neo)
root@vagrant-ubuntu-trusty-64:~# clamscan /bin/busybox
/bin/busybox: Unix.Trojan.Mirai-5607459-1 FOUND

----------- SCAN SUMMARY -----------
Known viruses: 5679215
Engine version: 0.99.2
Scanned directories: 0
Scanned files: 1
Infected files: 1
Data scanned: 1.84 MB
Data read: 1.83 MB (ratio 1.01:1)
Time: 7.556 sec (0 m 7 s)
root@vagrant-ubuntu-trusty-64:~#

Vì vậy, tôi cũng tin rằng đây có thể là một dương tính giả.

Tôi sẽ nói, rkhunter không đưa cho tôi tài liệu tham khảo: "/ usr / bin / lwp-request Cảnh báo", vì vậy có lẽ PhysiOS Quantum đang gặp nhiều vấn đề.

EDIT: chỉ nhận thấy rằng tôi chưa bao giờ nói rõ ràng rằng tất cả các máy chủ này là Ubuntu 14.04. Các phiên bản khác có thể thay đổi?

Chữ ký ClamAV cho Unix.Trojan.Mirai-5607459-1 chắc chắn là quá rộng, do đó có thể là dương tính giả, như J Rock và cayleaf ghi nhận.

Ví dụ: bất kỳ tệp nào có tất cả các thuộc tính sau sẽ khớp với chữ ký:

• đó là tệp ELF;
• nó chứa chuỗi "watchdog" chính xác hai lần;
• nó chứa chuỗi "/ Proc / self" ít nhất một lần;
• nó chứa chuỗi "busybox" ít nhất một lần.

(Toàn bộ chữ ký phức tạp hơn một chút, nhưng các điều kiện trên là đủ cho một trận đấu.)

Ví dụ: bạn có thể tạo một tệp như vậy với:

$ echo 'main() {printf("watchdog watchdog /proc/self busybox");}' > innocent.c
$ gcc -o innocent innocent.c
$ clamscan --no-summary innocent
innocent: Unix.Trojan.Mirai-5607459-1 FOUND

Bất kỳ bản dựng busybox nào (trên Linux) thường sẽ khớp với bốn thuộc tính tôi liệt kê ở trên. Đây rõ ràng là một tệp ELF và nó chắc chắn sẽ chứa chuỗi "busybox" nhiều lần. Nó thực thi "/ Proc / self / exe" để chạy các applet nhất định. Cuối cùng, "watchdog" xảy ra hai lần: một lần dưới dạng tên applet và một lần bên trong chuỗi "/var/run/watchdog.pid".

Điều này vừa xuất hiện cho tôi hôm nay cũng như trong lần quét ClamAV của tôi cho / bin / busybox. Tôi tự hỏi nếu cơ sở dữ liệu cập nhật có lỗi.

Tôi đã cố đăng nhập thông qua SSH và nó sẽ không chấp nhận mật khẩu của tôi. Root đăng nhập bị vô hiệu hóa vì vậy tôi đã đi cứu và bật đăng nhập root và có thể đăng nhập với quyền root. Với quyền root, tôi đã cố gắng thay đổi mật khẩu của tài khoản bị ảnh hưởng bằng chính mật khẩu mà tôi đã cố đăng nhập trước đó, passwd trả lời với "mật khẩu không thay đổi". Sau đó tôi đã thay đổi mật khẩu thành một thứ khác và có thể đăng nhập, sau đó thay đổi mật khẩu trở lại mật khẩu ban đầu và tôi lại có thể đăng nhập.

Điều này nghe có vẻ như mật khẩu đã hết hạn. Đặt mật khẩu (thành công) bằng cách đặt lại đồng hồ hết hạn mật khẩu. Bạn có thể kiểm tra / var / log / safe (hoặc bất cứ thứ gì tương đương với Ubuntu) và tìm hiểu lý do tại sao mật khẩu của bạn bị từ chối.