Saya tidak yakin apakah saya telah diretas atau tidak.
Saya mencoba masuk melalui SSH dan tidak mau menerima kata sandi saya. Login root dinonaktifkan sehingga saya pergi untuk menyelamatkan dan mengaktifkan login root dan bisa masuk sebagai root. Sebagai root, saya mencoba mengubah kata sandi akun yang terpengaruh dengan kata sandi yang sama dengan yang saya coba masuk sebelumnya, passwd
menjawab dengan "kata sandi tidak berubah". Saya kemudian mengubah kata sandi menjadi sesuatu yang lain dan dapat login, kemudian mengubah kata sandi kembali ke kata sandi asli dan saya kembali dapat login.
Saya memeriksa auth.log
perubahan kata sandi tetapi tidak menemukan sesuatu yang berguna.
Saya juga memindai virus dan rootkit dan server mengembalikan ini:
ClamAV:
"/bin/busybox Unix.Trojan.Mirai-5607459-1 FOUND"
RKHunter:
"/usr/bin/lwp-request Warning: The command '/usr/bin/lwp-request' has been replaced by a script: /usr/bin/lwp-request: a /usr/bin/perl -w script, ASCII text executable
Warning: Suspicious file types found in /dev:"
Perlu dicatat bahwa server saya tidak banyak diketahui. Saya juga telah mengubah port SSH dan mengaktifkan verifikasi 2 langkah.
Saya khawatir saya diretas dan seseorang berusaha membodohi saya, "semuanya baik-baik saja, jangan khawatir tentang itu".
Jawaban:
Seperti J Rock, saya pikir ini adalah false positive. Saya memiliki pengalaman yang sama.
Saya menerima alarm dari 6 server yang berbeda, berbeda, dan terpisah secara geografis dalam rentang waktu singkat. 4 dari server ini hanya ada di jaringan pribadi. Satu hal yang mereka miliki bersama adalah pembaruan daily.cld baru-baru ini.
Jadi, setelah memeriksa beberapa heuristik tipikal trojan ini tanpa hasil, saya mem-boot kotak gelandangan dengan baseline bersih saya dan menjalankan freshclam. Ini meraih
Selanjutnya
clamav /bin/busybox
mengembalikan peringatan "/ bin / busybox Unix.Trojan.Mirai-5607459-1 FOUND" yang sama pada server asli.Akhirnya, untuk mengukur baik, saya juga melakukan sebuah kotak gelandangan dari resmi Ubuntu kotak dan juga mendapat sama "/ bin / busybox Unix.Trojan.Mirai-5.607.459-1 FOUND" (Catatan, saya harus memori pada kotak gelandangan ini dari default 512MB atau clamscan gagal dengan 'terbunuh')
Output penuh dari kotak gelran Ubuntu 14.04.5 segar.
Jadi, saya juga percaya ini kemungkinan salah positif.
Saya akan mengatakan, rkhunter tidak memberi saya referensi: "/ usr / bin / lwp-request Warning", jadi mungkin PhysiOS Quantum mengalami lebih dari satu masalah.
EDIT: hanya memperhatikan bahwa saya tidak pernah secara eksplisit mengatakan bahwa semua server ini adalah Ubuntu 14.04. Versi lain dapat bervariasi?
sumber
sha1sum
)/bin/busybox
file server saya dengan file yang sama pada VM lokal yang dibuat dari gambar Ubuntu dan mereka identik. Jadi saya juga memilih false positive.Tanda tangan ClamAV untuk Unix.Trojan.Mirai-5607459-1 jelas terlalu luas, jadi kemungkinan itu adalah false positive, seperti dicatat oleh J Rock dan cayleaf.
Misalnya, file apa pun yang memiliki semua properti berikut akan cocok dengan tanda tangan:
(Seluruh tanda tangan sedikit lebih rumit, tetapi kondisi di atas cukup untuk sebuah pertandingan.)
Misalnya, Anda dapat membuat file seperti itu dengan:
Build busybox (di Linux) biasanya akan cocok dengan empat properti yang saya sebutkan di atas. Ini jelas file ELF dan pasti akan berisi string "busybox" berkali-kali. Ini mengeksekusi "/ proc / self / exe" untuk menjalankan applet tertentu. Akhirnya, "watchdog" muncul dua kali: sekali sebagai nama applet dan sekali di dalam string "/var/run/watchdog.pid".
sumber
sigtool --unpack-current daily
untuk membongkar daily.cvd (atausigtool --unpack-current main
untuk membongkar main.cvd). Jika Anda menerima file yang dihasilkan untuk "Unix.Trojan.Mirai-5607459-1", Anda harus menemukan tanda tangan, yang kebetulan berada di daily.ldb. Format tanda tangan dijelaskan di signatures.pdf (dilengkapi dengan paket clamav-docs di Ubuntu).Ini baru saja muncul hari ini untuk saya juga di pemindaian ClamAV saya untuk / bin / busybox. Saya bertanya-tanya apakah database yang diperbarui memiliki kesalahan.
sumber
Ini terdengar seperti kata sandi kedaluwarsa. Mengatur kata sandi (berhasil) dengan root me-reset jam kedaluwarsa kata sandi. Anda dapat memeriksa / var / log / secure (atau apa pun yang setara dengan Ubuntu) dan mencari tahu mengapa kata sandi Anda ditolak.
sumber