Странный SSH, безопасность сервера, меня могли взломать
Я не уверен, был ли я взломан или нет.
Я попытался войти через SSH, но ничего не вышло. Я не принимаю свой пароль. Вход в систему с правами root отключен, поэтому я пошел на помощь, включил вход с правами root и смог войти в систему как root. Как root, я попытался изменить пароль затронутой учетной записи с тем же паролем, с которым я пытался войти в систему раньше, passwd ответил «пароль не изменен». Затем я изменил пароль на другой и смог войти в систему, затем изменил пароль обратно на исходный пароль, и я снова смог войти в систему.
Я проверил auth.log на предмет изменений пароля но не нашел ничего полезного.
Я также проверил на наличие вирусов и руткитов, и сервер вернул это:
ClamAV:
"/bin/busybox Unix.Trojan.Mirai-5607459-1 FOUND"
RKHunter:
"/usr/bin/lwp-request Warning: The command '/usr/bin/lwp-request' has been replaced by a script: /usr/bin/lwp-request: a /usr/bin/perl -w script, ASCII text executable
Warning: Suspicious file types found in /dev:"
Следует отметить, что мой сервер не так широко известен. Я также изменил порт SSH и включил двухэтапную аутентификацию.
Меня беспокоит, что меня взломали, и кто-то пытается меня обмануть: «все в порядке, не беспокойтесь об этом».
Как и Джей Рок, я думаю, что это ложное срабатывание. У меня был такой же опыт.
Я получил сигнал тревоги с 6 разных, разрозненных, географически разделенных серверов за короткий промежуток времени. 4 из этих серверов существовали только в частной сети. Единственное, что у них было общего, - это недавнее обновление daily.cld.
Итак, после безуспешной проверки некоторых типичных эвристик этого трояна, я загрузил бродячий ящик с моим известным чистым базовым уровнем и запустил freshclam. Этот загруженный
"daily.cld обновлен (версия: 22950, sigs: 1465879, f-level: 63, builder: neo) "
Последующее clamav / bin / busybox вернуло такое же предупреждение" / bin / busybox Unix.Trojan.Mirai-5607459-1 НАЙДЕНО "на исходных серверах.
Наконец, , для хорошей меры, я также сделал бродячий ящик из официального окна Ubuntu , а также получил тот же «/ bin / busybox Unix.Trojan.Mirai-5607459-1 НАЙДЕН» (заметьте, мне пришлось поднять
Полный вывод из свежего бродячего бокса Ubuntu 14.04.5.
root@vagrant-ubuntu-trusty-64:~# freshclam
ClamAV update process started at Fri Jan 27 03:28:30 2017
main.cvd is up to date (version: 57, sigs: 4218790, f-level: 60, builder: amishhammer)
daily.cvd is up to date (version: 22950, sigs: 1465879, f-level: 63, builder: neo)
bytecode.cvd is up to date (version: 290, sigs: 55, f-level: 63, builder: neo)
root@vagrant-ubuntu-trusty-64:~# clamscan /bin/busybox
/bin/busybox: Unix.Trojan.Mirai-5607459-1 FOUND
----------- SCAN SUMMARY -----------
Known viruses: 5679215
Engine version: 0.99.2
Scanned directories: 0
Scanned files: 1
Infected files: 1
Data scanned: 1.84 MB
Data read: 1.83 MB (ratio 1.01:1)
Time: 7.556 sec (0 m 7 s)
root@vagrant-ubuntu-trusty-64:~#
Так что я также считаю, что это, скорее всего, ложное срабатывание.
]Я скажу,rkhunter не дал мне ссылку: "/ usr / bin / lwp-request Warning", так что, возможно, PhysiOS Quantum имеет более одной проблемы.
РЕДАКТИРОВАТЬ: только что заметил, что я никогда явно не говорил, что все эти серверы - Ubuntu 14.04. Другие версии могут отличаться?
Сигнатура ClamAV для Unix.Trojan.Mirai-5607459-1 определенно слишком широкая, поэтому, как отметили Дж. Рок и Кейлиф, скорее всего, это ложное срабатывание.
Например, любой файл, который имеет все следующие свойства, будет соответствовать подписи:
- это файл ELF;
- он содержит строку «watchdog» ровно дважды;
- он содержит строку «/ proc / self» хотя бы один раз ;
- он хотя бы один раз содержит строку "busybox".
(Вся подпись немного сложнее, но вышеуказанных условий достаточно для совпадения.)
Например, вы можете создать такой файл с:
$ echo 'main() {printf("watchdog watchdog /proc/self busybox");}' > innocent.c
$ gcc -o innocent innocent.c
$ clamscan --no-summary innocent
innocent: Unix.Trojan.Mirai-5607459-1 FOUND
Любая сборка busybox (в Linux) обычно соответствует четырем свойствам, перечисленным выше. Очевидно, что это файл ELF, и он определенно будет содержать строку "busybox" много раз. Он выполняет «/ proc / self / exe» для запуска определенных апплетов. Наконец, "сторожевой таймер" встречается дважды: один раз в качестве имени апплета и один раз внутри строки "/var/run/watchdog.pid".
Это только что обнаружилось сегодня у меня в моем сканировании ClamAV для / bin / busybox. Мне интересно, есть ли в обновленной базе данных ошибка.
Я попытался войти через SSH, но мой пароль не принимается. Вход в систему с правами root отключен, поэтому я пошел на помощь, включил вход с правами root и смог войти в систему как root. Как root, я попытался изменить пароль затронутой учетной записи с тем же паролем, с которым я пытался войти в систему раньше, passwd ответил «пароль неизменен». Затем я сменил пароль на другой и смог войти в систему, затем снова изменил пароль на исходный, и я снова смог войти в систему.
Это похоже на просроченный пароль. Установка пароля (успешно) пользователем root сбрасывает время истечения срока действия пароля. Вы можете проверить / var / log / secure (или что-то подобное в Ubuntu) и выяснить, почему ваш пароль был отклонен.