it-swarm.com.de

Seltsames SSH, Serversicherheit, ich könnte gehackt worden sein

Ich bin mir nicht sicher, ob ich gehackt wurde oder nicht.

Ich habe versucht, mich über SSH anzumelden, aber mein Passwort wurde nicht akzeptiert. Die Root-Anmeldung ist deaktiviert, daher habe ich mich für die Rettung entschieden und die Root-Anmeldung aktiviert. Ich konnte mich als Root anmelden. Als root habe ich versucht, das Passwort des betroffenen Kontos mit demselben Passwort zu ändern, mit dem ich mich zuvor angemeldet hatte. passwd antwortete mit "Passwort unverändert". Ich habe dann das Passwort in etwas anderes geändert und konnte mich anmelden, dann das Passwort wieder in das ursprüngliche Passwort ändern und mich wieder anmelden können.

Ich überprüfte auth.log für Passwortänderungen, fand aber nichts Nützliches.

Ich habe auch nach Viren und Rootkits gesucht und der Server hat Folgendes zurückgegeben:

ClamAV:

"/bin/busybox Unix.Trojan.Mirai-5607459-1 FOUND"

RKHunter:

"/usr/bin/lwp-request Warning: The command '/usr/bin/lwp-request' has been replaced by a script: /usr/bin/lwp-request: a /usr/bin/Perl -w script, ASCII text executable

Warning: Suspicious file types found in /dev:"

Es ist zu beachten, dass mein Server nicht allgemein bekannt ist. Ich habe auch den SSH-Port geändert und die Bestätigung in zwei Schritten aktiviert.

Ich mache mir Sorgen, dass ich gehackt wurde und jemand versucht mich zu täuschen. "Alles ist in Ordnung, mach dir keine Sorgen.".

30
PhysiOS

Wie bei J Rock halte ich dies für falsch positiv. Ich hatte die gleiche Erfahrung.

Ich habe in kurzer Zeit einen Alarm von 6 verschiedenen, unterschiedlichen, geografisch getrennten Servern erhalten. 4 dieser Server existierten nur in einem privaten Netzwerk. Das einzige, was sie gemeinsam hatten, war ein aktuelles Update von daily.cld.

Nachdem ich erfolglos nach einigen typischen Heuristiken dieses Trojaners gesucht hatte, startete ich eine Vagabundkiste mit meiner bekannten sauberen Grundlinie und ließ Freshclam laufen. Das packte

"daily.cld ist auf dem neuesten Stand (Version: 22950, ​​Sigs: 1465879, F-Level: 63, Builder: Neo)"

Ein nachfolgendes clamav /bin/busybox hat auf den ursprünglichen Servern dieselbe Warnung "/ bin/Busybox Unix.Trojan.Mirai-5607459-1 FOUND" zurückgegeben.

Schließlich habe ich aus gutem Grund auch eine Vagabundbox von Ubuntus offiziellem box gemacht und auch die gleiche "/ bin/Busybox Unix.Trojan.Mirai-5607459-1 FOUND" (Hinweis, ich musste Den Speicher auf dieser Vagabundbox von 512 MB oder Clamscan mit 'getötet' fehlgeschlagen)

Volle Ausgabe von frischer Ubuntu 14.04.5 Vagrant Box.

[email protected]:~# freshclam
ClamAV update process started at Fri Jan 27 03:28:30 2017
main.cvd is up to date (version: 57, sigs: 4218790, f-level: 60, builder: amishhammer)
daily.cvd is up to date (version: 22950, sigs: 1465879, f-level: 63, builder: neo)
bytecode.cvd is up to date (version: 290, sigs: 55, f-level: 63, builder: neo)
[email protected]:~# clamscan /bin/busybox
/bin/busybox: Unix.Trojan.Mirai-5607459-1 FOUND

----------- SCAN SUMMARY -----------
Known viruses: 5679215
Engine version: 0.99.2
Scanned directories: 0
Scanned files: 1
Infected files: 1
Data scanned: 1.84 MB
Data read: 1.83 MB (ratio 1.01:1)
Time: 7.556 sec (0 m 7 s)
[email protected]:~#

Daher glaube ich auch, dass dies wahrscheinlich falsch positiv ist.

Ich werde sagen, rkhunter hat mir nicht die Referenz "/ usr/bin/lwp-request Warning" gegeben, also hat PhysiOS Quantum vielleicht mehr als ein Problem.

EDIT: habe gerade bemerkt, dass ich nie explizit gesagt habe, dass alle diese Server Ubuntu 14.04 sind. Andere Versionen können variieren?

30
cayleaf

Die ClamAV-Signatur für Unix.Trojan.Mirai-5607459-1 ist definitiv zu breit, daher ist sie wahrscheinlich falsch positiv, wie von J Rock und Cayleaf festgestellt.

Beispielsweise stimmt jede Datei mit allen folgenden Eigenschaften mit der Signatur überein:

  • es ist eine ELF-Datei.
  • es enthält die Zeichenfolge "watchdog" genau zweimal;
  • es enthält mindestens einmal die Zeichenfolge "/ proc/self";
  • es enthält mindestens einmal die Zeichenfolge "Busybox".

(Die gesamte Signatur ist etwas komplizierter, aber die oben genannten Bedingungen reichen für ein Match aus.)

Beispielsweise können Sie eine solche Datei erstellen mit:

$ echo 'main() {printf("watchdog watchdog /proc/self busybox");}' > innocent.c
$ gcc -o innocent innocent.c
$ clamscan --no-summary innocent
innocent: Unix.Trojan.Mirai-5607459-1 FOUND

Jeder Busybox-Build (unter Linux) entspricht normalerweise den vier oben aufgeführten Eigenschaften. Es ist offensichtlich eine ELF-Datei und sie wird definitiv viele Male die Zeichenfolge "Busybox" enthalten. Es führt "/ proc/self/exe" aus , um bestimmte Applets auszuführen. Schließlich kommt "watchdog" zweimal vor: einmal als Applet-Name und einmal in der Zeichenfolge "/var/run/watchdog.pid".

45
nomadictype

Dies zeigte sich heute auch für mich in meinem ClamAV-Scan nach/bin/Busybox. Ich frage mich, ob die aktualisierte Datenbank einen Fehler aufweist.

6
J Rock

Ich habe versucht, mich über SSH anzumelden, aber mein Passwort wurde nicht akzeptiert. Die Root-Anmeldung ist deaktiviert, daher habe ich mich für die Rettung entschieden und die Root-Anmeldung aktiviert. Ich konnte mich als Root anmelden. Als root habe ich versucht, das Passwort des betroffenen Kontos mit demselben Passwort zu ändern, mit dem ich mich zuvor angemeldet hatte. Passwd antwortete mit "Passwort unverändert". Ich habe dann das Passwort in etwas anderes geändert und konnte mich anmelden, dann das Passwort wieder in das ursprüngliche Passwort ändern und mich wieder anmelden können.

Dies klingt nach einem abgelaufenen Passwort. Durch das (erfolgreiche) Festlegen des Kennworts über root wird die Kennwortablaufuhr zurückgesetzt. Sie könnten überprüfen/var/log/Secure (oder was auch immer das Ubuntu-Äquivalent ist) und finden heraus, warum Ihr Passwort abgelehnt wurde.

4
Xalorous