Ich bin nicht sicher, ob ich gehackt wurde oder nicht.
Ich habe versucht, mich über SSH anzumelden, aber mein Passwort wurde nicht akzeptiert. Die Root-Anmeldung ist deaktiviert, daher habe ich die Rettungsaktion gestartet und die Root-Anmeldung aktiviert und mich als Root anmelden können. Als root habe ich versucht, das Passwort des betroffenen Accounts mit demselben Passwort zu ändern, mit dem ich mich zuvor angemeldet hatte, und passwd
mit "Passwort unverändert" geantwortet. Ich habe dann das Passwort in etwas anderes geändert und mich anmelden können, dann habe ich das Passwort wieder in das ursprüngliche Passwort geändert und mich erneut anmelden können.
Ich habe auth.log
nach Passwortänderungen gesucht, aber nichts Nützliches gefunden.
Ich habe auch nach Viren und Rootkits gesucht und der Server hat Folgendes zurückgegeben:
ClamAV:
"/bin/busybox Unix.Trojan.Mirai-5607459-1 FOUND"
RKHunter:
"/usr/bin/lwp-request Warning: The command '/usr/bin/lwp-request' has been replaced by a script: /usr/bin/lwp-request: a /usr/bin/perl -w script, ASCII text executable
Warning: Suspicious file types found in /dev:"
Es sollte beachtet werden, dass mein Server nicht allgemein bekannt ist. Ich habe auch den SSH-Port geändert und die Bestätigung in zwei Schritten aktiviert.
Ich bin besorgt, dass ich gehackt wurde und jemand versucht, mich zu täuschen, "alles ist in Ordnung, mach dir keine Sorgen".
Antworten:
Wie J Rock halte ich das für falsch positiv. Ich hatte die gleiche Erfahrung.
Ich habe in kurzer Zeit einen Alarm von 6 verschiedenen, unterschiedlichen, geografisch getrennten Servern erhalten. 4 dieser Server existierten nur in einem privaten Netzwerk. Das einzige, was sie gemeinsam hatten, war ein aktuelles daily.cld-Update.
Nachdem ich erfolglos nach einigen typischen Heuristiken dieses Trojaners gesucht hatte, startete ich eine Vagabundkiste mit meiner bekannten sauberen Basislinie und ließ Freshclam laufen. Dies packte
Eine nachfolgende
clamav /bin/busybox
gab dieselbe Warnung "/ bin / busybox Unix.Trojan.Mirai-5607459-1 FOUND" auf den ursprünglichen Servern zurück.Schließlich habe ich aus gutem Grund auch eine Vagrant-Box von Ubuntus offizieller Box erstellt und die gleiche "/ bin / busybox Unix.Trojan.Mirai-5607459-1 FOUND" (Hinweis: Ich musste den Speicher dieser Vagrant-Box aufrüsten von seinen Standard 512MB oder Clamscan fehlgeschlagen mit 'kill')
Volle Leistung aus frischer Ubuntu 14.04.5 Vagrant Box.
Ich glaube also auch, dass dies wahrscheinlich ein falsches Positiv ist.
Ich werde sagen, rkhunter hat mir nicht den Verweis "/ usr / bin / lwp-request Warning" gegeben, so dass PhysiOS Quantum möglicherweise mehr als ein Problem hat.
EDIT: gerade bemerkt, dass ich nie ausdrücklich gesagt habe, dass alle diese Server Ubuntu 14.04 sind. Andere Versionen können abweichen?
quelle
sha1sum
habe die/bin/busybox
Datei meines Servers mit der gleichen Datei auf einer lokalen VM verglichen, die aus einem Ubuntu-Image erstellt wurde, und sie sind identisch. Also stimme ich auch falsch positiv.Die ClamAV-Signatur für Unix.Trojan.Mirai-5607459-1 ist definitiv zu breit, sodass es sich wahrscheinlich um ein falsches Positiv handelt, wie J Rock und cayleaf festgestellt haben.
Beispielsweise stimmt jede Datei mit allen folgenden Eigenschaften mit der Signatur überein:
(Die gesamte Signatur ist etwas komplizierter, aber die oben genannten Bedingungen reichen für eine Übereinstimmung aus.)
Beispielsweise können Sie eine solche Datei erstellen mit:
Jeder Busybox-Build (unter Linux) entspricht normalerweise den vier oben aufgeführten Eigenschaften. Es ist offensichtlich eine ELF-Datei und sie wird auf jeden Fall die Zeichenfolge "busybox" viele Male enthalten. Es führt "/ proc / self / exe" aus , um bestimmte Applets auszuführen. Schließlich kommt "watchdog" zweimal vor: einmal als Applet-Name und einmal in der Zeichenfolge "/var/run/watchdog.pid".
quelle
sigtool --unpack-current daily
startesigtool --unpack-current main
, um daily.cvd zu entpacken (oder main.cvd zu entpacken). Wenn Sie die resultierenden Dateien für "Unix.Trojan.Mirai-5607459-1" durchsuchen, sollten Sie die Signatur finden, die sich zufällig in daily.ldb befindet. Das Signaturformat wird in signatures.pdf erklärt (im Lieferumfang von clamav-docs in Ubuntu enthalten).Dies hat sich heute auch für mich in meinem ClamAV-Scan für / bin / busybox gezeigt. Ich frage mich, ob die aktualisierte Datenbank einen Fehler aufweist.
quelle
Das klingt nach abgelaufenem Passwort. Durch (erfolgreiches) Festlegen des Kennworts durch root wird die Kennwortablaufuhr zurückgesetzt. Sie könnten / var / log / secure (oder was auch immer das Ubuntu-Äquivalent ist) überprüfen und herausfinden, warum Ihr Passwort abgelehnt wurde.
quelle