GNU/Linux >> Belajar Linux >  >> Linux

SSH aneh, Keamanan server, saya mungkin telah diretas

Solusi 1:

Tanda tangan ClamAV untuk Unix.Trojan.Mirai-5607459-1 jelas terlalu luas, sehingga kemungkinan positif palsu, seperti dicatat oleh J Rock dan cayleaf.

Misalnya, file apa pun yang memiliki semua properti berikut akan cocok dengan tanda tangannya:

  • ini adalah berkas ELF;
  • berisi string "watchdog" tepat dua kali;
  • berisi string "/proc/self" setidaknya sekali;
  • berisi string "busybox" setidaknya sekali.

(Seluruh tanda tangan sedikit lebih rumit, tetapi ketentuan di atas cukup untuk sebuah kecocokan.)

Misalnya, Anda dapat membuat file seperti itu dengan:

$ echo 'main() {printf("watchdog watchdog /proc/self busybox");}' > innocent.c
$ gcc -o innocent innocent.c
$ clamscan --no-summary innocent
innocent: Unix.Trojan.Mirai-5607459-1 FOUND

Setiap build busybox (di Linux) biasanya akan cocok dengan empat properti yang saya cantumkan di atas. Ini jelas merupakan file ELF dan pasti akan berisi string "busybox" berkali-kali. Itu mengeksekusi "/proc/self/exe" untuk menjalankan applet tertentu. Terakhir, "watchdog" muncul dua kali:sekali sebagai nama applet dan sekali di dalam string "/var/run/watchdog.pid".

Solusi 2:

Seperti J Rock, menurut saya ini adalah false positive. Saya memiliki pengalaman yang sama.

Saya menerima alarm dari 6 server berbeda yang terpisah secara geografis dalam rentang waktu singkat. 4 dari server ini hanya ada di jaringan pribadi. Satu kesamaan yang mereka miliki adalah pembaruan daily.cld baru-baru ini.

Jadi, setelah memeriksa beberapa heuristik tipikal trojan ini tanpa hasil, saya mem-boot kotak gelandangan dengan baseline bersih saya yang diketahui dan menjalankan freshclam. Ini meraih

"daily.cld terbaru (versi:22950, ​​sigs:1465879, f-level:63,builder:neo)"

clamav /bin/busybox berikutnya mengembalikan peringatan "/bin/busybox Unix.Trojan.Mirai-5607459-1 FOUND" yang sama di server asli.

Akhirnya, untuk ukuran yang baik, saya juga membuat kotak gelandangan dari kotak resmi Ubuntu dan juga mendapatkan "/bin/busybox Unix.Trojan.Mirai-5607459-1 DITEMUKAN" yang sama (Catatan, saya harus menambah memori pada kotak gelandangan ini dari standarnya 512MB atau clamscan gagal dengan 'killed')

Output penuh dari kotak gelandangan Ubuntu 14.04.5 baru.

[email protected]:~# freshclam
ClamAV update process started at Fri Jan 27 03:28:30 2017
main.cvd is up to date (version: 57, sigs: 4218790, f-level: 60, builder: amishhammer)
daily.cvd is up to date (version: 22950, sigs: 1465879, f-level: 63, builder: neo)
bytecode.cvd is up to date (version: 290, sigs: 55, f-level: 63, builder: neo)
[email protected]:~# clamscan /bin/busybox
/bin/busybox: Unix.Trojan.Mirai-5607459-1 FOUND

----------- SCAN SUMMARY -----------
Known viruses: 5679215
Engine version: 0.99.2
Scanned directories: 0
Scanned files: 1
Infected files: 1
Data scanned: 1.84 MB
Data read: 1.83 MB (ratio 1.01:1)
Time: 7.556 sec (0 m 7 s)
[email protected]:~#

Jadi, saya juga yakin ini kemungkinan positif palsu.

Saya akan mengatakan, rkhunter melakukannya tidak beri saya referensi:"/usr/bin/lwp-request Warning", jadi mungkin PhysiOS Quantum mengalami lebih dari satu masalah.

EDIT:baru menyadari bahwa saya tidak pernah secara eksplisit mengatakan bahwa semua server ini adalah Ubuntu 14.04. Versi lain mungkin berbeda?

Solusi 3:

Ini baru saja muncul hari ini untuk saya juga dalam pemindaian ClamAV saya untuk /bin/busybox. Saya ingin tahu apakah database yang diperbarui memiliki kesalahan.

Solusi 4:

Saya mencoba masuk melalui SSH dan tidak menerima kata sandi saya. Login root dinonaktifkan jadi saya pergi untuk menyelamatkan dan mengaktifkan login root dan dapat login sebagai root. Sebagai root, saya mencoba mengubah kata sandi akun yang terpengaruh dengan kata sandi yang sama dengan yang saya coba masuki sebelumnya, kata sandi menjawab dengan "kata sandi tidak berubah". Saya kemudian mengubah kata sandi menjadi sesuatu yang lain dan dapat masuk, kemudian mengubah kata sandi kembali ke kata sandi asli dan saya dapat masuk lagi.

Ini terdengar seperti kata sandi yang kedaluwarsa. Mengatur kata sandi (berhasil) dengan root akan mengatur ulang jam kedaluwarsa kata sandi. Anda bisa periksa /var/log/secure (atau apa pun yang setara dengan Ubuntu) dan cari tahu mengapa kata sandi Anda ditolak.


Linux
  1. Praktik Terbaik Keamanan OpenSSH

  2. Bagaimana Cara Ssh Ke Server Menggunakan Server Lain??

  3. Konfigurasikan keamanan dasar

  1. Mengonfigurasi Keamanan IP di IIS

  2. Apakah tidak aman memiliki pengguna yang memungkinkan dengan sudo tanpa kata sandi?

  3. Nama pengguna dan kata sandi di baris perintah dengan sshfs

  1. Login SSH ke server RHEL 7 tanpa kata sandi

  2. Bagaimana saya tahu jika server Linux saya telah diretas?

  3. Aktifkan Login Kata Sandi untuk SSH di Amazon Linux AMI