Frage Sonderbare SSH, Serversicherheit, ich könnte gehackt worden sein


Ich bin mir nicht sicher, ob ich gehackt wurde oder nicht.

Ich habe versucht, mich über SSH anzumelden und mein Passwort wurde nicht akzeptiert. Die Root-Anmeldung ist deaktiviert, also bin ich zur Rettung gegangen und habe die root-Anmeldung aktiviert und konnte mich als root anmelden. Als root habe ich versucht, das Passwort des betroffenen Accounts mit dem gleichen Passwort zu ändern, mit dem ich mich vorher angemeldet hatte, passwd antwortete mit "Passwort unverändert". Ich habe dann das Passwort auf etwas anderes geändert und konnte mich einloggen, änderte dann das Passwort wieder auf das ursprüngliche Passwort und konnte mich wieder einloggen.

Ich überprüfte auth.log für Passwortänderungen, aber nichts nützliches gefunden.

Ich habe auch nach Viren und Rootkits gesucht und der Server hat Folgendes zurückgegeben:

ClamAV:

"/bin/busybox Unix.Trojan.Mirai-5607459-1 FOUND"

RKHunter:

"/usr/bin/lwp-request Warning: The command '/usr/bin/lwp-request' has been replaced by a script: /usr/bin/lwp-request: a /usr/bin/perl -w script, ASCII text executable

Warning: Suspicious file types found in /dev:"

Es sollte beachtet werden, dass mein Server nicht allgemein bekannt ist. Ich habe auch den SSH-Port geändert und die Bestätigung in zwei Schritten aktiviert.

Ich bin besorgt, dass ich gehackt wurde und jemand versucht, mich zu täuschen, "alles ist gut, mach dir keine Sorgen darüber."


29
2018-01-27 01:39


Ursprung


Stimme mit Michael überein. Scheint so, als ob Mirai Brute-Force-Passwort-Erraten verwendet, um Linux-Hosts zu kompromittieren - incapsula.com/blog/malware-analysis-mirai-ddos-botnet.html. Die Verwendung der Authentifizierung mit öffentlichen Schlüsseln wäre besser als die Änderung des SSH-Ports aus Sicherheitsgründen IMHO. - Josh Morel
@JoshMorel Ich würde weiter gehen und sagen, dass das Ändern des SSH-Ports ist schädlich zur Sicherheit. Es hilft nichts zu schützen, aber Menschen, die es falsch machen Gefühl sicherer. Indem sie sich sicherer fühlen, ohne tatsächlich sicherer zu sein, sind sie schlechter dran als zuvor. Ich würde auch sagen, Pubkey Auth ist nicht einfach besser, aber ein Muss. - marcelm
"... es würde mein Passwort nicht annehmen ... es antwortete" Passwort unverändert "... nachdem ich das Passwort zu etwas anderem geändert hatte, konnte ich mich einloggen, ich änderte das Passwort zurück zu dem, was es war und ich konnte es noch Einloggen." - Das alles könnte Sie werden dadurch erklärt, dass Sie Tippfehler in Ihrem Passwort gemacht haben (oder mit Feststelltaste), bevor Sie sich an den Rettungsbenutzer gewandt haben. - marcelm
die busybox-trojanerkennung von clamav ist mir auch heute morgen zum ersten mal passiert, über ~ 100 systeme; Ich stimme falsch positiv. Ich nehme an, dass clamav ihre sig-Datenbank aktualisiert hat, damit dieser falsche positive Start gestern Abend über Nacht auftaucht - JDS
Übrigens ist die sha256-Hashsumme meiner Busybox auf diesen Systemen 7fa3a176871de12832ca8a78b646bc6be92f7f528ee81d1c35bf12aa99292b1c. Dies sind Ubuntu 14.04-Systeme, und die M-Zeit auf dem Busybox-Bin ist 2013-11-14 - JDS


Antworten:


Wie J Rock finde ich das falsch positiv. Ich hatte die gleiche Erfahrung.

Ich habe in kurzer Zeit einen Alarm von 6 unterschiedlichen, geografisch getrennten Servern erhalten. 4 dieser Server existierten nur in einem privaten Netzwerk. Das einzige, was sie gemeinsam hatten, war ein aktuelles Update von daily.cld.

Nachdem ich einige der typischen Heuristiken dieses Trojaners ohne Erfolg überprüft hatte, startete ich eine Vagabund-Box mit meiner bekannten sauberen Grundlinie und führte einen frischen Cram aus. Das packte

"daily.cld ist auf dem neuesten Stand (Version: 22950, ​​sigs: 1465879, f-level: 63,   Baumeister: neo) "

Eine nachfolgende clamav /bin/busybox hat dieselbe "/ bin / busybox Unix.Trojan.Mirai-5607459-1 FOUND" Warnung auf den ursprünglichen Servern zurückgegeben.

Schließlich habe ich auch noch eine Vagabund-Box von Ubuntus Beamten gemacht Box und bekam auch das gleiche "/ bin / busybox Unix.Trojan.Mirai-5607459-1 GEFUNDEN" (Hinweis, ich musste den Speicher auf dieser vagabundierenden Box von seinem Standard 512MB oder clamscan gescheitert mit "getötet")

Volle Ausgabe von frischer Ubuntu 14.04.5 Landstreicherbox.

root@vagrant-ubuntu-trusty-64:~# freshclam
ClamAV update process started at Fri Jan 27 03:28:30 2017
main.cvd is up to date (version: 57, sigs: 4218790, f-level: 60, builder: amishhammer)
daily.cvd is up to date (version: 22950, sigs: 1465879, f-level: 63, builder: neo)
bytecode.cvd is up to date (version: 290, sigs: 55, f-level: 63, builder: neo)
root@vagrant-ubuntu-trusty-64:~# clamscan /bin/busybox
/bin/busybox: Unix.Trojan.Mirai-5607459-1 FOUND

----------- SCAN SUMMARY -----------
Known viruses: 5679215
Engine version: 0.99.2
Scanned directories: 0
Scanned files: 1
Infected files: 1
Data scanned: 1.84 MB
Data read: 1.83 MB (ratio 1.01:1)
Time: 7.556 sec (0 m 7 s)
root@vagrant-ubuntu-trusty-64:~#

Ich glaube also, dass dies wahrscheinlich ein falsch positives Ergebnis ist.

Ich werde sagen, rkhunter hat es getan nicht Geben Sie mir die Referenz "/ usr / bin / lwp-request Warning", damit Physio Quantum möglicherweise mehr als ein Problem hat.

EDIT: habe gerade gemerkt, dass ich nie explizit gesagt habe, dass alle diese Server Ubuntu 14.04 sind. Andere Versionen können variieren?


29
2018-01-27 03:32



Ich werde meine SSH-Authentifizierung für einen Pubkey ändern und ich werde versuchen, die Netzwerkverbindungen zu überwachen, aber ehrlich gesagt ist es wirklich seltsam, weil ich sogar das Passwort kopiere und eingefügt habe und es trotzdem abgelehnt habe. Was soll ich mit der / usr / bin / lwp-Anfrage machen? - PhysiOS
Ich habe diese Benachrichtigung heute Morgen auf einem Ubuntu 14.04 Server bekommen. Ich habe verglichen (sha1sum) mein Server /bin/busybox Datei in dieselbe Datei auf einer lokalen VM, die von einem Ubuntu-Image erstellt wurde, und sie sind identisch. Also stimme ich auch falsch positiv. - agregoire
@PhysiOSQuantum Nichts. Das ist auch ein falsches positives Ergebnis - lwp-request ist ein Tool, das sich auf ein Perl-Modul bezieht (metacpan.org/pod/LWP), also ist es völlig normal, dass es ein Skript ist. - duskwuff


Die ClamAV-Signatur für Unix.Trojan.Mirai-5607459-1 ist definitiv zu breit, daher ist es wahrscheinlich falsch positiv, wie von J Rock und Cayleaf bemerkt.

Eine Datei mit allen folgenden Eigenschaften entspricht beispielsweise der Signatur:

  • es ist eine ELF-Datei;
  • es enthält die Zeichenfolge "watchdog" genau zweimal;
  • es enthält die Zeichenkette "/ proc / self" mindestens einmal;
  • Es enthält mindestens einmal den String "busybox".

(Die gesamte Signatur ist etwas komplizierter, aber die obigen Bedingungen reichen für eine Übereinstimmung aus.)

Zum Beispiel können Sie eine solche Datei erstellen mit:

$ echo 'main() {printf("watchdog watchdog /proc/self busybox");}' > innocent.c
$ gcc -o innocent innocent.c
$ clamscan --no-summary innocent
innocent: Unix.Trojan.Mirai-5607459-1 FOUND

Jeder Busybox-Build (unter Linux) entspricht normalerweise den vier oben aufgeführten Eigenschaften. Es ist offensichtlich eine ELF-Datei und es wird definitiv die Zeichenfolge "busybox" viele Male enthalten. Es führt "/ proc / self / exe" aus bestimmte Applets ausführen. Schließlich tritt "Watchdog" zweimal auf: einmal als Applet-Name und einmal in der Zeichenfolge "/var/run/watchdog.pid".


44
2018-01-27 04:27



Wo kann ich diese Signatur und andere aus ClamAV aus Neugierde lesen? - Délisson Junio
Ich wusste, dass jemand, der schlauer ist als ich, erklären könnte Warum es war ein falsches positives. Vielen Dank! - cayleaf
@ Délisson Junio: Erstellen Sie ein leeres Verzeichnis, cd hinein und laufen sigtool --unpack-current daily entpacken Sie daily.cvd (oder sigtool --unpack-current main main.cvd entpacken). Wenn Sie die resultierenden Dateien für "Unix.Trojan.Mirai-5607459-1" grep, sollten Sie die Signatur finden, die zufällig in daily.ldb ist. Das Signaturformat wird in erklärt Unterschriften.pdf (kommt mit dem clamav-docs Paket in Ubuntu). - nomadictype


Dies erschien mir auch heute in meinem ClamAV-Scan für / bin / busybox. Ich frage mich, ob die aktualisierte Datenbank einen Fehler hat.


5
2018-01-27 02:38



Scan / bin / busybox auf jedem Ubuntu 14.04 LTS mit der neuesten ClamAV-Datenbank. Es kehrt infiziert zurück. Das ist ein falsch positives IMO. - J Rock
Ich habe ClamAV einen falschen positiven Bericht vorgelegt. Ich habe auch festgestellt, dass vmware Player-Binärdateien als mit dem gleichen Trojaner infiziert angezeigt werden. Es ist wahrscheinlich, dass sie busybox-Code enthalten haben. - J Rock


Ich habe versucht, mich über SSH anzumelden und mein Passwort wurde nicht akzeptiert. Die Root-Anmeldung ist deaktiviert, also bin ich zur Rettung gegangen und habe die root-Anmeldung aktiviert und konnte mich als root anmelden. Als root habe ich versucht, das Passwort des betroffenen Accounts mit dem gleichen Passwort zu ändern, mit dem ich mich vorher angemeldet hatte, passwd antwortete mit "Passwort unverändert". Ich habe dann das Passwort auf etwas anderes geändert und konnte mich einloggen, änderte dann das Passwort wieder auf das ursprüngliche Passwort und konnte mich wieder einloggen.

Das klingt nach abgelaufenem Passwort. Das Setzen des Passworts (erfolgreich) durch root setzt die Passwortablaufuhr zurück. Sie könnte Überprüfe / var / log / secure (oder was auch immer das Ubuntu-Äquivalent ist) und finde heraus, warum dein Passwort abgelehnt wurde.


3
2018-01-30 19:31