SSH aneh, keamanan Server, saya mungkin diretas

30

Saya tidak yakin apakah saya telah diretas atau tidak.

Saya mencoba masuk melalui SSH dan tidak mau menerima kata sandi saya. Login root dinonaktifkan sehingga saya pergi untuk menyelamatkan dan mengaktifkan login root dan bisa masuk sebagai root. Sebagai root, saya mencoba mengubah kata sandi akun yang terpengaruh dengan kata sandi yang sama dengan yang saya coba masuk sebelumnya, passwdmenjawab dengan "kata sandi tidak berubah". Saya kemudian mengubah kata sandi menjadi sesuatu yang lain dan dapat login, kemudian mengubah kata sandi kembali ke kata sandi asli dan saya kembali dapat login.

Saya memeriksa auth.logperubahan kata sandi tetapi tidak menemukan sesuatu yang berguna.

Saya juga memindai virus dan rootkit dan server mengembalikan ini:

ClamAV:

"/bin/busybox Unix.Trojan.Mirai-5607459-1 FOUND"

RKHunter:

"/usr/bin/lwp-request Warning: The command '/usr/bin/lwp-request' has been replaced by a script: /usr/bin/lwp-request: a /usr/bin/perl -w script, ASCII text executable

Warning: Suspicious file types found in /dev:"

Perlu dicatat bahwa server saya tidak banyak diketahui. Saya juga telah mengubah port SSH dan mengaktifkan verifikasi 2 langkah.

Saya khawatir saya diretas dan seseorang berusaha membodohi saya, "semuanya baik-baik saja, jangan khawatir tentang itu".

PhysiOS
sumber
10
Setuju dengan Michael. Sepertinya Mirai menggunakan tebak kata sandi brute-force untuk mengkompromikan host linux - incapsula.com/blog/malware-analysis-mirai-ddos-botnet.html . Menggunakan otentikasi kunci publik akan lebih baik daripada mengubah port SSH untuk tujuan keamanan IMHO.
Josh Morel
3
@JoshMorel Saya akan melangkah lebih jauh dan mengatakan bahwa mengubah port SSH merugikan keamanan. Itu tidak membantu melindungi apa pun, tetapi orang yang melakukannya dengan salah merasa lebih aman. Jadi, dengan merasa lebih aman tanpa benar-benar lebih aman mereka lebih buruk daripada sebelumnya. Juga, saya akan mengatakan pubkey auth tidak hanya lebih baik, tetapi suatu keharusan.
marcelm
10
"... itu tidak akan menerima kata sandi saya ... itu menjawab" kata sandi tidak berubah "... setelah mengubah kata sandi untuk sesuatu yang lain saya bisa login, saya mengubah kata sandi kembali ke apa itu dan saya masih bisa untuk masuk. " - Semua itu bisa dijelaskan dengan Anda membuat kesalahan ketik di kata sandi Anda (atau mengaktifkan caps lock) sebelum Anda pergi ke pengguna penyelamat.
marcelm
2
deteksi trojan busybox oleh clamav terjadi pada saya juga, pagi ini untuk pertama kalinya, di ~ 100 sistem; Saya memberikan suara positif palsu. Saya kira clamav memperbarui database sig mereka untuk memiliki awal positif palsu ini muncul semalam semalam
JDS
2
Kebetulan, hashsum sha256 dari busybox saya pada sistem ini adalah 7fa3a176871de12832ca8a78b646bc6be92f7f528ee81d1c35bf12aa99292b1c. Ini adalah sistem ubuntu 14.04, dan waktu di nampan busybox adalah 2013-11-14
JDS

Jawaban:

30

Seperti J Rock, saya pikir ini adalah false positive. Saya memiliki pengalaman yang sama.

Saya menerima alarm dari 6 server yang berbeda, berbeda, dan terpisah secara geografis dalam rentang waktu singkat. 4 dari server ini hanya ada di jaringan pribadi. Satu hal yang mereka miliki bersama adalah pembaruan daily.cld baru-baru ini.

Jadi, setelah memeriksa beberapa heuristik tipikal trojan ini tanpa hasil, saya mem-boot kotak gelandangan dengan baseline bersih saya dan menjalankan freshclam. Ini meraih

"daily.cld adalah yang terbaru (versi: 22950, ​​sigs: 1465879, f-level: 63, pembangun: neo)"

Selanjutnya clamav /bin/busyboxmengembalikan peringatan "/ bin / busybox Unix.Trojan.Mirai-5607459-1 FOUND" yang sama pada server asli.

Akhirnya, untuk mengukur baik, saya juga melakukan sebuah kotak gelandangan dari resmi Ubuntu kotak dan juga mendapat sama "/ bin / busybox Unix.Trojan.Mirai-5.607.459-1 FOUND" (Catatan, saya harus memori pada kotak gelandangan ini dari default 512MB atau clamscan gagal dengan 'terbunuh')

Output penuh dari kotak gelran Ubuntu 14.04.5 segar.

root@vagrant-ubuntu-trusty-64:~# freshclam
ClamAV update process started at Fri Jan 27 03:28:30 2017
main.cvd is up to date (version: 57, sigs: 4218790, f-level: 60, builder: amishhammer)
daily.cvd is up to date (version: 22950, sigs: 1465879, f-level: 63, builder: neo)
bytecode.cvd is up to date (version: 290, sigs: 55, f-level: 63, builder: neo)
root@vagrant-ubuntu-trusty-64:~# clamscan /bin/busybox
/bin/busybox: Unix.Trojan.Mirai-5607459-1 FOUND

----------- SCAN SUMMARY -----------
Known viruses: 5679215
Engine version: 0.99.2
Scanned directories: 0
Scanned files: 1
Infected files: 1
Data scanned: 1.84 MB
Data read: 1.83 MB (ratio 1.01:1)
Time: 7.556 sec (0 m 7 s)
root@vagrant-ubuntu-trusty-64:~#

Jadi, saya juga percaya ini kemungkinan salah positif.

Saya akan mengatakan, rkhunter tidak memberi saya referensi: "/ usr / bin / lwp-request Warning", jadi mungkin PhysiOS Quantum mengalami lebih dari satu masalah.

EDIT: hanya memperhatikan bahwa saya tidak pernah secara eksplisit mengatakan bahwa semua server ini adalah Ubuntu 14.04. Versi lain dapat bervariasi?

daun pohon cayleaf
sumber
1
Saya akan mengubah otentikasi SSH saya untuk pubkey dan saya akan mencoba untuk memonitor koneksi jaringan, tapi jujur ​​itu benar-benar aneh karena saya bahkan menyalin dan menempelkan kata sandi dan masih menolaknya. Apa yang harus saya lakukan dengan permintaan / usr / bin / lwp?
Fisios
1
Saya juga mendapat pemberitahuan ini pagi ini di server Ubuntu 14.04. Saya membandingkan ( sha1sum) /bin/busyboxfile server saya dengan file yang sama pada VM lokal yang dibuat dari gambar Ubuntu dan mereka identik. Jadi saya juga memilih false positive.
agregoire
3
@PhysiOSQuantum Tidak Ada. Itu juga merupakan false positive - lwp-request adalah alat yang terkait dengan modul Perl ( metacpan.org/pod/LWP ), jadi itu sangat normal untuk menjadi skrip.
duskwuff
45

Tanda tangan ClamAV untuk Unix.Trojan.Mirai-5607459-1 jelas terlalu luas, jadi kemungkinan itu adalah false positive, seperti dicatat oleh J Rock dan cayleaf.

Misalnya, file apa pun yang memiliki semua properti berikut akan cocok dengan tanda tangan:

  • ini adalah file ELF;
  • ini berisi string "anjing penjaga" tepat dua kali;
  • ini berisi string "/ proc / self" setidaknya sekali;
  • ini berisi string "busybox" setidaknya sekali.

(Seluruh tanda tangan sedikit lebih rumit, tetapi kondisi di atas cukup untuk sebuah pertandingan.)

Misalnya, Anda dapat membuat file seperti itu dengan:

$ echo 'main() {printf("watchdog watchdog /proc/self busybox");}' > innocent.c
$ gcc -o innocent innocent.c
$ clamscan --no-summary innocent
innocent: Unix.Trojan.Mirai-5607459-1 FOUND

Build busybox (di Linux) biasanya akan cocok dengan empat properti yang saya sebutkan di atas. Ini jelas file ELF dan pasti akan berisi string "busybox" berkali-kali. Ini mengeksekusi "/ proc / self / exe" untuk menjalankan applet tertentu. Akhirnya, "watchdog" muncul dua kali: sekali sebagai nama applet dan sekali di dalam string "/var/run/watchdog.pid".

nomadictype
sumber
20
Di mana saya bisa membaca tanda tangan itu, dan yang lainnya dari ClamAV, karena penasaran?
Délisson Junio
2
Saya tahu seseorang yang lebih pintar daripada saya akan dapat menjelaskan mengapa itu positif palsu. Terima kasih!
cayleaf
3
@ Délisson Junio: Buat direktori kosong, masukkan ke dalamnya dan jalankan sigtool --unpack-current dailyuntuk membongkar daily.cvd (atau sigtool --unpack-current mainuntuk membongkar main.cvd). Jika Anda menerima file yang dihasilkan untuk "Unix.Trojan.Mirai-5607459-1", Anda harus menemukan tanda tangan, yang kebetulan berada di daily.ldb. Format tanda tangan dijelaskan di signatures.pdf (dilengkapi dengan paket clamav-docs di Ubuntu).
nomadictype
6

Ini baru saja muncul hari ini untuk saya juga di pemindaian ClamAV saya untuk / bin / busybox. Saya bertanya-tanya apakah database yang diperbarui memiliki kesalahan.

J Rock
sumber
2
Pindai / bin / busybox di Ubuntu 14.04 LTS apa pun dengan database ClamAV terbaru. Ia kembali terinfeksi. Ini adalah false positive, IMO.
J Rock
2
Saya mengirimkan laporan positif palsu ke ClamAV. Saya juga menemukan bahwa binari vmware player muncul sebagai terinfeksi dengan trojan yang sama. Kemungkinan mereka memasukkan kode busybox.
J Rock
4

Saya mencoba masuk melalui SSH dan tidak mau menerima kata sandi saya. Login root dinonaktifkan jadi saya pergi untuk menyelamatkan dan mengaktifkan login root dan bisa masuk sebagai root. Sebagai root, saya mencoba untuk mengubah kata sandi akun yang terpengaruh dengan kata sandi yang sama dengan yang saya coba masuk sebelumnya, passwd menjawab dengan "kata sandi tidak berubah". Saya kemudian mengubah kata sandi menjadi sesuatu yang lain dan dapat login, kemudian mengubah kata sandi kembali ke kata sandi asli dan saya kembali dapat login.

Ini terdengar seperti kata sandi kedaluwarsa. Mengatur kata sandi (berhasil) dengan root me-reset jam kedaluwarsa kata sandi. Anda dapat memeriksa / var / log / secure (atau apa pun yang setara dengan Ubuntu) dan mencari tahu mengapa kata sandi Anda ditolak.

Xalorous
sumber