अजीब एसएसएच, सर्वर सुरक्षा, मुझे हैक किया गया हो सकता है

मुझे यकीन नहीं है कि मुझे हैक किया गया है या नहीं।

मैंने SSH के माध्यम से लॉग इन करने की कोशिश की और यह मेरा पासवर्ड स्वीकार नहीं करेगा। रूट लॉगिन अक्षम है इसलिए मैं बचाव में गया और रूट लॉगिन चालू किया और रूट के रूप में लॉग इन करने में सक्षम था। रूट के रूप में, मैंने प्रभावित खाते के पासवर्ड को उसी पासवर्ड से बदलने की कोशिश की जिसके साथ मैंने पहले लॉग इन करने की कोशिश की थी, passwd"पासवर्ड अपरिवर्तित" के साथ उत्तर दिया। मैंने तब पासवर्ड को किसी और चीज़ में बदल दिया और लॉग इन करने में सक्षम था, फिर पासवर्ड को मूल पासवर्ड में बदल दिया और मैं फिर से लॉग इन करने में सक्षम हो गया।

मैंने auth.logपासवर्ड परिवर्तन के लिए जाँच की लेकिन कुछ उपयोगी नहीं मिला।

मैंने वायरस और रूटकिट्स के लिए स्कैन किया और सर्वर ने इसे वापस कर दिया:

ClamAV:

"/bin/busybox Unix.Trojan.Mirai-5607459-1 FOUND"

RKHunter:

"/usr/bin/lwp-request Warning: The command '/usr/bin/lwp-request' has been replaced by a script: /usr/bin/lwp-request: a /usr/bin/perl -w script, ASCII text executable

Warning: Suspicious file types found in /dev:"

यह ध्यान दिया जाना चाहिए कि मेरा सर्वर व्यापक रूप से ज्ञात नहीं है। मैंने SSH पोर्ट भी बदला है और 2-चरणीय सत्यापन सक्षम किया है।

मुझे लगा कि मैं हैक हो गया हूं और कोई मुझे बेवकूफ बनाने की कोशिश कर रहा है, "सब कुछ ठीक है, इसके बारे में चिंता मत करो"।

जे रॉक की तरह, मुझे लगता है कि यह एक झूठी सकारात्मक है। मेरा भी ऐसा ही अनुभव है।

मुझे थोड़े समय में 6 अलग, अलग, भौगोलिक रूप से अलग किए गए सर्वरों से एक अलार्म मिला। इनमें से 4 सर्वर केवल एक निजी नेटवर्क पर मौजूद थे। एक चीज जो उनके पास सामान्य थी, वह हाल ही में किया गया एक दैनिक अद्यतन था।

इसलिए, इस ट्रोजन की कुछ विशिष्ट उत्तराधिकारियों के लिए सफलता के बिना जाँच करने के बाद, मैंने अपने परिचित क्लीन बेसलाइन के साथ एक योनि बॉक्स को बूट किया और फ्रेशक्लाम चला। इसने हड़प लिया

"डेली.cld अप टू डेट (संस्करण: 22950, ​​sigs: 1465879, f-level: 63, builder: neo)"

बाद clamav /bin/busyboxमें मूल सर्वर पर "/ बिन / बिजीबॉक्स Unix.Trojan.Mirai-5607459-1 FOUND" अलर्ट लौटा दिया।

अंत में, अच्छा उपाय, मैं भी उबंटू की आधिकारिक से एक आवारा बॉक्स किया बॉक्स है और यह भी एक ही "/ bin / बिजीबॉक्स Unix.Trojan.Mirai-5,607,459-1 पाया" मिल गया (ध्यान दें, मैं इस आवारा बॉक्स पर स्मृति को करना पड़ा अपने डिफ़ॉल्ट 512MB या 'हत्या' के साथ clamscan विफल)

ताजा Ubuntu 14.04.5 आवारा बॉक्स से पूर्ण उत्पादन।

root@vagrant-ubuntu-trusty-64:~# freshclam
ClamAV update process started at Fri Jan 27 03:28:30 2017
main.cvd is up to date (version: 57, sigs: 4218790, f-level: 60, builder: amishhammer)
daily.cvd is up to date (version: 22950, sigs: 1465879, f-level: 63, builder: neo)
bytecode.cvd is up to date (version: 290, sigs: 55, f-level: 63, builder: neo)
root@vagrant-ubuntu-trusty-64:~# clamscan /bin/busybox
/bin/busybox: Unix.Trojan.Mirai-5607459-1 FOUND

----------- SCAN SUMMARY -----------
Known viruses: 5679215
Engine version: 0.99.2
Scanned directories: 0
Scanned files: 1
Infected files: 1
Data scanned: 1.84 MB
Data read: 1.83 MB (ratio 1.01:1)
Time: 7.556 sec (0 m 7 s)
root@vagrant-ubuntu-trusty-64:~#

इसलिए, मेरा यह भी मानना ​​है कि यह एक झूठी सकारात्मक संभावना है।

मैं कहूंगा, rkhunter ने मुझे नहीं दिया: "/ usr / bin / lwp-request वार्निंग" संदर्भ, इसलिए हो सकता है कि PhysiOS क्वांटम एक से अधिक अंक हो।

संपादित करें: मैंने देखा है कि मैंने कभी स्पष्ट रूप से नहीं कहा कि ये सभी सर्वर Ubuntu 14.04 हैं। अन्य संस्करण भिन्न हो सकते हैं?

Unix.Trojan.Mirai-5607459-1 के लिए ClamAV हस्ताक्षर निश्चित रूप से बहुत व्यापक है, इसलिए यह J रॉक और cayleaf द्वारा नोट किया गया एक गलत सकारात्मक संभावना है।

उदाहरण के लिए, किसी भी फ़ाइल में निम्नलिखित सभी गुण हैं जो हस्ताक्षर से मेल खाएंगे:

• यह एक ईएलएफ फ़ाइल है;
• इसमें दो बार स्ट्रिंग "वॉचडॉग" शामिल है;
• इसमें कम से कम एक बार स्ट्रिंग "/ proc / self" शामिल है;
• इसमें कम से कम एक बार स्ट्रिंग "बिजीबॉक्स" शामिल है।

(संपूर्ण हस्ताक्षर थोड़ा अधिक जटिल है, लेकिन उपरोक्त शर्तें एक मैच के लिए पर्याप्त हैं।)

उदाहरण के लिए, आप ऐसी फ़ाइल बना सकते हैं:

$ echo 'main() {printf("watchdog watchdog /proc/self busybox");}' > innocent.c
$ gcc -o innocent innocent.c
$ clamscan --no-summary innocent
innocent: Unix.Trojan.Mirai-5607459-1 FOUND

किसी भी व्यस्त बॉक्स का निर्माण (लिनक्स पर) आमतौर पर ऊपर सूचीबद्ध चार गुणों से मेल खाता है। यह स्पष्ट रूप से एक ईएलएफ फ़ाइल है और इसमें कई बार स्ट्रिंग "बिजीबॉक्स" निश्चित रूप से शामिल होगा। यह कुछ एप्लेट्स को चलाने के लिए "/ proc / self / exe" निष्पादित करता है । अंत में, "वॉचडॉग" दो बार होता है: एक बार एप्लेट नाम के रूप में और एक बार स्ट्रिंग के अंदर "/var/run/watchdog.pid"।

यह अभी मेरे लिए और साथ ही मेरे ClamAV स्कैन / बिन / बिजीबॉक्स के लिए दिखाया गया है। मुझे आश्चर्य है कि अगर अद्यतन डेटाबेस में कोई त्रुटि है।

मैंने SSH के माध्यम से लॉग इन करने की कोशिश की और यह मेरा पासवर्ड स्वीकार नहीं करेगा। रूट लॉगिन अक्षम है इसलिए मैं बचाव में गया और रूट लॉगिन चालू किया और रूट के रूप में लॉग इन करने में सक्षम था। रूट के रूप में, मैंने प्रभावित खाते के पासवर्ड को उसी पासवर्ड से बदलने की कोशिश की जिसके साथ मैंने पहले लॉग इन करने की कोशिश की थी, पासवार्ड ने "पासवर्ड अपरिवर्तित" के साथ उत्तर दिया था। मैंने तब पासवर्ड को किसी और चीज़ में बदल दिया और लॉग इन करने में सक्षम था, फिर पासवर्ड को मूल पासवर्ड में बदल दिया और मैं फिर से लॉग इन करने में सक्षम हो गया।

यह समय सीमा समाप्त पासवर्ड की तरह लगता है। रूट द्वारा पासवर्ड (सफलतापूर्वक) सेट करना पासवर्ड की समाप्ति घड़ी को रीसेट करता है। आप हो सकता है की जाँच / var / log / सुरक्षित (या जो भी उबंटू बराबर है) और यह पता लगाना क्यों अपना पासवर्ड अस्वीकार कर दिया था।