Странный SSH, Безопасность сервера, возможно, меня взломали

30

Я не уверен, был ли я взломан или нет.

Я попытался войти через SSH, и он не принял мой пароль. Root-вход отключен, поэтому я пошел на помощь и включил root-доступ и смог войти в систему как root. Как пользователь root, я попытался изменить пароль затронутой учетной записи с тем же паролем, с которым я пытался войти ранее, и passwdответил «пароль не изменился». Затем я изменил пароль на что-то другое и смог войти в систему, затем изменил пароль обратно на первоначальный пароль, и я снова смог войти.

Я проверил auth.logизменения пароля, но не нашел ничего полезного.

Я также проверил на наличие вирусов и руткитов, и сервер вернул это:

ClamAV: 

"/bin/busybox Unix.Trojan.Mirai-5607459-1 FOUND"

RkHunter: 

"/usr/bin/lwp-request Warning: The command '/usr/bin/lwp-request' has been replaced by a script: /usr/bin/lwp-request: a /usr/bin/perl -w script, ASCII text executable

Warning: Suspicious file types found in /dev:"

Следует отметить, что мой сервер не широко известен. Я также изменил порт SSH и включил двухэтапную проверку.

Я обеспокоен тем, что меня взломали, и кто-то пытается обмануть меня: «все хорошо, не беспокойся об этом».

linux ssh security hacking физиотерапевты
источник
10
Согласитесь с Майклом. Похоже, что Mirai использует взлом паролей для компрометации хостов Linux - incapsula.com/blog/malware-analysis-mirai-ddos-botnet.html . Использование аутентификации с открытым ключом было бы лучше, чем изменение порта SSH в целях безопасности.
Джош Морел
3
@JoshMorel Я бы пошел дальше и сказал, что изменение порта SSH наносит ущерб безопасности. Это ничего не помогает защитить, но люди, которые делают это неправильно, чувствуют себя в большей безопасности. Так что, чувствуя себя в большей безопасности, но не будучи в большей безопасности, они чувствуют себя хуже, чем раньше. Кроме того, я бы сказал, что pubkey auth не просто лучше, а обязательно.
Марсель
10
«... он не принял мой пароль ... он ответил« пароль не изменился »... после изменения пароля на что-то еще, я смог войти в систему, я изменил пароль обратно на тот, который был, и я все еще мог чтобы залогиниться." - Все это может быть объяснено тем, что вы вводите опечатки в своем пароле (или устанавливаете заглавные буквы) перед тем, как идти к спасателю.
Марсель
2
обнаружение трояна busybox с помощью clamav произошло со мной также сегодня утром впервые в ~ 100 системах; Я голосую за ложное срабатывание. Я предполагаю, что clamav обновил свою базу данных sig, чтобы это ложное срабатывание появилось накануне ночью
JDS
2
Кстати, хэш-сумма sha256 моего занятого ящика в этих системах равна 7fa3a176871de12832ca8a78b646bc6be92f7f528ee81d1c35bf12aa99292b1c. Это системы Ubuntu 14.04, а mtime в корзине busybox 2013-11-14
JDS,

Ответы:

30

Как и J Rock, я думаю, что это ложный позитив. У меня был такой же опыт.

Я получил сигнал тревоги от 6 разных, разрозненных, географически разделенных серверов за короткий промежуток времени. 4 из этих серверов существовали только в частной сети. Единственное, что у них было общего, - это недавнее обновление daily.cld.

Итак, после проверки некоторых типичных эвристик этого троянца, я безуспешно загрузил бродячую коробку с моим известным чистым базовым уровнем и запустил freshclam. Это схватил

"daily.cld обновлен (версия: 22950, ​​sigs: 1465879, f-уровень: 63, строитель: neo)"

Последующее clamav /bin/busyboxвозвратило то же самое предупреждение "/ bin / busybox Unix.Trojan.Mirai-5607459-1 FOUND" на исходных серверах.

Наконец, для хорошей цели я также сделал бродячую коробку из официального ящика Ubuntu и также получил такой же "/ bin / busybox Unix.Trojan.Mirai-5607459-1 НАЙДЕННЫЙ" (обратите внимание, мне пришлось увеличить объем памяти на этом бродяжничном ящике по умолчанию 512MB или clamscan потерпел неудачу с 'kill')

Полный выход из свежей Ubuntu 14.04.5 vagrant box.

root@vagrant-ubuntu-trusty-64:~# freshclam
ClamAV update process started at Fri Jan 27 03:28:30 2017
main.cvd is up to date (version: 57, sigs: 4218790, f-level: 60, builder: amishhammer)
daily.cvd is up to date (version: 22950, sigs: 1465879, f-level: 63, builder: neo)
bytecode.cvd is up to date (version: 290, sigs: 55, f-level: 63, builder: neo)
root@vagrant-ubuntu-trusty-64:~# clamscan /bin/busybox
/bin/busybox: Unix.Trojan.Mirai-5607459-1 FOUND

----------- SCAN SUMMARY -----------
Known viruses: 5679215
Engine version: 0.99.2
Scanned directories: 0
Scanned files: 1
Infected files: 1
Data scanned: 1.84 MB
Data read: 1.83 MB (ratio 1.01:1)
Time: 7.556 sec (0 m 7 s)
root@vagrant-ubuntu-trusty-64:~#

Поэтому я также считаю, что это может быть ложным срабатыванием.

Я скажу, что rkhunter не дал мне ссылку : «/ usr / bin / lwp-request Warning», так что, возможно, у PhysiOS Quantum есть несколько проблем.

РЕДАКТИРОВАТЬ: только заметил, что я никогда не говорил явно, что все эти серверы являются Ubuntu 14.04. Другие версии могут отличаться?

cayleaf
источник
1
Я собираюсь изменить свою аутентификацию SSH для pubkey, и я попытаюсь контролировать сетевые соединения, но, честно говоря, это действительно странно, потому что я даже скопировал и вставил пароль, и он все еще отклонил его. Что мне делать с / usr / bin / lwp-request?
PhysiOS
1
Я также получил это уведомление этим утром на сервере Ubuntu 14.04. Я сравнил ( sha1sum) /bin/busyboxфайл моего сервера с тем же файлом на локальной виртуальной машине, созданной из образа Ubuntu, и они идентичны. Так что я тоже голосую за ложное мнение.
agregoire
3
@PhysiOSQuantum Ничего. Это также ложный положительный результат - lwp-запрос - это инструмент, связанный с модулем Perl ( metacpan.org/pod/LWP ), так что это вполне нормально для скрипта.
duskwuff
45

Подпись ClamAV для Unix.Trojan.Mirai-5607459-1 определенно слишком широка, поэтому, скорее всего, это ложный положительный результат, как отметили J Rock и Cayleaf.

Например, любой файл, который имеет все следующие свойства, будет соответствовать подписи:

  • это файл ELF;
  • он содержит строку «сторожевой таймер» ровно дважды;
  • содержит хотя бы один раз строку "/ proc / self";
  • он содержит строку «busybox» хотя бы один раз.

(Вся подпись немного сложнее, но вышеуказанных условий достаточно для соответствия.)

Например, вы можете создать такой файл с помощью:

$ echo 'main() {printf("watchdog watchdog /proc/self busybox");}' > innocent.c
$ gcc -o innocent innocent.c
$ clamscan --no-summary innocent
innocent: Unix.Trojan.Mirai-5607459-1 FOUND

Любая сборка busybox (в Linux) обычно соответствует четырем свойствам, перечисленным выше. Это, очевидно, файл ELF, и он определенно будет содержать строку «busybox» много раз. Он выполняет "/ proc / self / exe" для запуска определенных апплетов. Наконец, «watchdog» встречается дважды: один раз как имя апплета и один раз внутри строки «/var/run/watchdog.pid».

nomadictype
источник
20
Где я могу прочитать эту подпись и другие из ClamAV из любопытства?
Делиссон Хунио
2
Я знал, что кто-то умнее меня сможет объяснить, почему это был ложный позитив. Благодарность!
cayleaf
3
@ Délisson Junio: создайте пустой каталог, перейдите в него и запустите, sigtool --unpack-current dailyчтобы распаковать daily.cvd (или sigtool --unpack-current mainраспаковать main.cvd). Если вы получите grep для результирующих файлов для «Unix.Trojan.Mirai-5607459-1», вы должны найти подпись, которая находится в daily.ldb. Формат подписи поясняется в signatures.pdf (поставляется с пакетом clamav-docs в Ubuntu).
кочевой тип
6

Это только что появилось сегодня для меня в моем ClamAV-сканировании для / bin / busybox. Мне интересно, есть ли ошибка в обновленной базе данных.

J Rock
источник
2
Сканирование / bin / busybox на любой Ubuntu 14.04 LTS с последней базой данных ClamAV. Возвращается зараженным. Это ложный позитив, ИМО.
J Rock
2
Я представил ложное положительное заключение ClamAV. Я также обнаружил, что двоичные файлы плеера vmware обнаруживаются зараженными тем же трояном. Вероятно, они включили код busybox.
J Rock
4

Я попытался войти через SSH, и он не принял мой пароль. Root-вход отключен, поэтому я пошел на помощь и включил root-доступ и смог войти в систему как root. Как пользователь root, я попытался изменить пароль уязвимой учетной записи с тем же паролем, с которым я пытался войти ранее, passwd ответил «пароль не изменился». Затем я изменил пароль на что-то другое и смог войти в систему, затем изменил пароль обратно на первоначальный пароль, и я снова смог войти.

Это похоже на просроченный пароль. Установка пароля (успешно) пользователем root сбрасывает часы истечения срока действия пароля. Вы можете проверить / var / log / secure (или любой другой эквивалент Ubuntu) и выяснить, почему ваш пароль был отклонен.

Xalorous
источник