奇妙なSSH、サーバーセキュリティ、ハッキングされた可能性があります
ハッキングされたかどうかはわかりません。
SSH経由でログインを試みましたが、パスワードが受け入れられません。 rootログインが無効になっているので、私はレスキューに行ってrootログインをオンにし、rootとしてログインすることができました。 rootとして、影響を受けたアカウントのパスワードを、以前にログインしようとしたときと同じパスワードに変更しようとしましたが、passwdは「変更されていないパスワード」で返信しました。次に、パスワードを別のパスワードに変更してログインできました。その後、パスワードを元のパスワードに戻し、再びログインできました。
私はチェックした auth.logパスワードの変更が必要なものはありませんでした。
私もウイルスとルートキットをスキャンし、サーバーはこれを返しました:
ClamAV:
"/bin/busybox Unix.Trojan.Mirai-5607459-1 FOUND"
RKHunter:
"/usr/bin/lwp-request Warning: The command '/usr/bin/lwp-request' has been replaced by a script: /usr/bin/lwp-request: a /usr/bin/Perl -w script, ASCII text executable
Warning: Suspicious file types found in /dev:"
私のサーバーは広く知られていないことに注意してください。また、SSHポートを変更し、2段階認証を有効にしました。
ハッキングされ、誰かが私をだまそうとしていると心配しています。
Jロックのように、これは誤検出だと思います。私も同じ経験をしました。
地理的に離れた6つの異なるサーバーから短時間でアラームを受け取りました。これらのサーバーのうち4台は、プライベートネットワーク上にのみ存在しました。彼らが共通していたことの1つは、最近のdaily.cldアップデートです。
そこで、このトロイの木馬の典型的なヒューリスティックをいくつか確認した後、私は既知のクリーンなベースラインでvagrantボックスを起動し、freshclamを実行しました。これをつかんだ
「daily.cldは最新です(バージョン:22950、sigs:1465879、fレベル:63、ビルダー:neo)」
後続のclamav /bin/busyboxは、元のサーバーで同じ「/ bin/busybox Unix.Trojan.Mirai-5607459-1 FOUND」アラートを返しました。
最後に、十分な対策として、Ubuntuの公式 box から迷惑なボックスを作成し、同じ「/ bin/busybox Unix.Trojan.Mirai-5607459-1 FOUND」も取得しました(注、このvagrant boxのメモリをデフォルトの512MBから増やすか、clamscanが「killed」で失敗しました)
新しいUbuntu 14.04.5 vagrant boxからの完全な出力。
root@vagrant-ubuntu-trusty-64:~# freshclam
ClamAV update process started at Fri Jan 27 03:28:30 2017
main.cvd is up to date (version: 57, sigs: 4218790, f-level: 60, builder: amishhammer)
daily.cvd is up to date (version: 22950, sigs: 1465879, f-level: 63, builder: neo)
bytecode.cvd is up to date (version: 290, sigs: 55, f-level: 63, builder: neo)
root@vagrant-ubuntu-trusty-64:~# clamscan /bin/busybox
/bin/busybox: Unix.Trojan.Mirai-5607459-1 FOUND
----------- SCAN SUMMARY -----------
Known viruses: 5679215
Engine version: 0.99.2
Scanned directories: 0
Scanned files: 1
Infected files: 1
Data scanned: 1.84 MB
Data read: 1.83 MB (ratio 1.01:1)
Time: 7.556 sec (0 m 7 s)
root@vagrant-ubuntu-trusty-64:~#
したがって、これは誤検出である可能性が高いと私は思います。
私は言う、rkhunterはではないを参照してください: "/ usr/bin/lwp-request Warning"参照、つまりPhysiOS Quantumは1つの問題。
編集:これらのサーバーがすべてUbuntu 14.04であると私が明示的に言ったことがないことに気づきました他のバージョンは異なる場合がありますか?
Unix.Trojan.Mirai-5607459-1のClamAV署名は明らかに広すぎるため、J Rockとcayleafが指摘しているように、誤検知の可能性があります。
たとえば、次のすべてのプロパティを持つファイルは、署名と一致します。
- eLFファイルです。
- 文字列「watchdog」が正確に2回含まれています。
- 文字列「/ proc/self」が少なくとも1回含まれています。
- 文字列「busybox」が少なくとも1回含まれています。
(シグネチャ全体は少し複雑ですが、上記の条件は一致に十分です。)
たとえば、次のようにしてそのようなファイルを作成できます。
$ echo 'main() {printf("watchdog watchdog /proc/self busybox");}' > innocent.c
$ gcc -o innocent innocent.c
$ clamscan --no-summary innocent
innocent: Unix.Trojan.Mirai-5607459-1 FOUND
通常、busyboxビルド(Linux上)は、上記の4つのプロパティと一致します。それは明らかにELFファイルであり、間違いなく何度も「busybox」という文字列を含みます。 「/ proc/self/exe」を実行 特定のアプレットを実行します。最後に、「watchdog」は2回発生します。1回はアプレット名として、もう1回は文字列「/var/run/watchdog.pid」内にあります。
これは今日、/ bin/busyboxのClamAVスキャンでも表示されました。更新されたデータベースにエラーがあるのでしょうか。
SSH経由でログインを試みましたが、パスワードが受け入れられません。 rootログインが無効になっているので、私はレスキューに行ってrootログインをオンにし、rootとしてログインすることができました。 rootとして、影響を受けたアカウントのパスワードを、以前にログインを試みたのと同じパスワードに変更しようとしました。passwdは、「パスワードは変更されていません」と応答しました。次に、パスワードを別のパスワードに変更してログインできました。その後、パスワードを元のパスワードに戻し、再びログインできました。
これは期限切れのパスワードのようです。 rootが(正常に)パスワードを設定すると、パスワードの有効期限がリセットされます。あなたはcould/var/log/secure(またはUbuntuで同等のもの)をチェックして、パスワードが拒否された理由を見つけます。