Seltsame SSH, Serversicherheit, ich könnte gehackt worden sein

30

Ich bin nicht sicher, ob ich gehackt wurde oder nicht.

Ich habe versucht, mich über SSH anzumelden, aber mein Passwort wurde nicht akzeptiert. Die Root-Anmeldung ist deaktiviert, daher habe ich die Rettungsaktion gestartet und die Root-Anmeldung aktiviert und mich als Root anmelden können. Als root habe ich versucht, das Passwort des betroffenen Accounts mit demselben Passwort zu ändern, mit dem ich mich zuvor angemeldet hatte, und passwdmit "Passwort unverändert" geantwortet. Ich habe dann das Passwort in etwas anderes geändert und mich anmelden können, dann habe ich das Passwort wieder in das ursprüngliche Passwort geändert und mich erneut anmelden können.

Ich habe auth.lognach Passwortänderungen gesucht, aber nichts Nützliches gefunden.

Ich habe auch nach Viren und Rootkits gesucht und der Server hat Folgendes zurückgegeben:

ClamAV:

"/bin/busybox Unix.Trojan.Mirai-5607459-1 FOUND"

RKHunter:

"/usr/bin/lwp-request Warning: The command '/usr/bin/lwp-request' has been replaced by a script: /usr/bin/lwp-request: a /usr/bin/perl -w script, ASCII text executable

Warning: Suspicious file types found in /dev:"

Es sollte beachtet werden, dass mein Server nicht allgemein bekannt ist. Ich habe auch den SSH-Port geändert und die Bestätigung in zwei Schritten aktiviert.

Ich bin besorgt, dass ich gehackt wurde und jemand versucht, mich zu täuschen, "alles ist in Ordnung, mach dir keine Sorgen".

PhysiOS
quelle
10
Stimme Michael zu. Mirai verwendet offenbar Brute-Force-Kennwortraten, um Linux-Hosts zu gefährden - incapsula.com/blog/malware-analysis-mirai-ddos-botnet.html . Die Verwendung der Public-Key-Authentifizierung ist aus Sicherheitsgründen besser als die Änderung des SSH-Ports.
Josh Morel
3
@JoshMorel Ich würde noch weiter gehen und sagen, dass das Ändern des SSH-Ports die Sicherheit beeinträchtigt . Es schützt nichts, aber Menschen, die es falsch machen, fühlen sich sicherer. Wenn sie sich also sicherer fühlen, ohne tatsächlich sicherer zu sein, geht es ihnen schlechter als zuvor. Außerdem würde ich sagen, dass Pubkey-Authentifizierung nicht einfach besser ist, sondern ein Muss.
Marcelm
10
"... mein Passwort wurde nicht akzeptiert ... es antwortete" Passwort unverändert "... nachdem ich das Passwort in etwas anderes geändert hatte, das ich anmelden konnte, habe ich das Passwort wieder auf das zurückgesetzt, was es war und ich war noch in der Lage Einloggen." - Alles, was erklärt werden könnte , wenn Sie in Ihrem Kennwort Tippfehler gemacht haben (oder die Feststelltaste aktiviert haben), bevor Sie zum Rettungsbenutzer gegangen sind.
Marcelm
2
Auch mir ist heute morgen zum ersten Mal die Trojaner-Erkennung durch Clamav auf über 100 Systemen passiert. Ich stimme falsch positiv. Ich vermute, Clamav hat seine Sig-Datenbank aktualisiert, damit dieser falsch positive Start gestern Abend über Nacht angezeigt wird
JDS
2
Übrigens ist die sha256-Hashsumme meiner Busybox auf diesen Systemen 7fa3a176871de12832ca8a78b646bc6be92f7f528ee81d1c35bf12aa99292b1c. Dies sind Ubuntu 14.04-Systeme, und die Mtime auf dem Busybox-Bin ist 2013-11-14
JDS

Antworten:

30

Wie J Rock halte ich das für falsch positiv. Ich hatte die gleiche Erfahrung.

Ich habe in kurzer Zeit einen Alarm von 6 verschiedenen, unterschiedlichen, geografisch getrennten Servern erhalten. 4 dieser Server existierten nur in einem privaten Netzwerk. Das einzige, was sie gemeinsam hatten, war ein aktuelles daily.cld-Update.

Nachdem ich erfolglos nach einigen typischen Heuristiken dieses Trojaners gesucht hatte, startete ich eine Vagabundkiste mit meiner bekannten sauberen Basislinie und ließ Freshclam laufen. Dies packte

"daily.cld ist aktuell (version: 22950, ​​sigs: 1465879, f-level: 63, builder: neo)"

Eine nachfolgende clamav /bin/busyboxgab dieselbe Warnung "/ bin / busybox Unix.Trojan.Mirai-5607459-1 FOUND" auf den ursprünglichen Servern zurück.

Schließlich habe ich aus gutem Grund auch eine Vagrant-Box von Ubuntus offizieller Box erstellt und die gleiche "/ bin / busybox Unix.Trojan.Mirai-5607459-1 FOUND" (Hinweis: Ich musste den Speicher dieser Vagrant-Box aufrüsten von seinen Standard 512MB oder Clamscan fehlgeschlagen mit 'kill')

Volle Leistung aus frischer Ubuntu 14.04.5 Vagrant Box.

root@vagrant-ubuntu-trusty-64:~# freshclam
ClamAV update process started at Fri Jan 27 03:28:30 2017
main.cvd is up to date (version: 57, sigs: 4218790, f-level: 60, builder: amishhammer)
daily.cvd is up to date (version: 22950, sigs: 1465879, f-level: 63, builder: neo)
bytecode.cvd is up to date (version: 290, sigs: 55, f-level: 63, builder: neo)
root@vagrant-ubuntu-trusty-64:~# clamscan /bin/busybox
/bin/busybox: Unix.Trojan.Mirai-5607459-1 FOUND

----------- SCAN SUMMARY -----------
Known viruses: 5679215
Engine version: 0.99.2
Scanned directories: 0
Scanned files: 1
Infected files: 1
Data scanned: 1.84 MB
Data read: 1.83 MB (ratio 1.01:1)
Time: 7.556 sec (0 m 7 s)
root@vagrant-ubuntu-trusty-64:~#

Ich glaube also auch, dass dies wahrscheinlich ein falsches Positiv ist.

Ich werde sagen, rkhunter hat mir nicht den Verweis "/ usr / bin / lwp-request Warning" gegeben, so dass PhysiOS Quantum möglicherweise mehr als ein Problem hat.

EDIT: gerade bemerkt, dass ich nie ausdrücklich gesagt habe, dass alle diese Server Ubuntu 14.04 sind. Andere Versionen können abweichen?

Cayleaf
quelle
1
Ich werde meine SSH-Authentifizierung für einen Pubkey ändern und ich werde versuchen, die Netzwerkverbindungen zu überwachen, aber ehrlich gesagt ist es wirklich seltsam, weil ich das Passwort sogar kopiert und eingefügt habe und es immer noch abgelehnt habe. Was soll ich mit der / usr / bin / lwp-Anfrage machen?
PhysiOS
1
Ich habe diese Benachrichtigung heute Morgen auch auf einem Ubuntu 14.04 Server erhalten. Ich sha1sumhabe die /bin/busyboxDatei meines Servers mit der gleichen Datei auf einer lokalen VM verglichen, die aus einem Ubuntu-Image erstellt wurde, und sie sind identisch. Also stimme ich auch falsch positiv.
27.
3
@PhysiOSQuantum Nichts. Das ist auch falsch positiv - lwp-request ist ein Tool, das sich auf ein Perl-Modul bezieht ( metacpan.org/pod/LWP ), daher ist es ganz normal, dass es sich um ein Skript handelt.
Duskwuff
45

Die ClamAV-Signatur für Unix.Trojan.Mirai-5607459-1 ist definitiv zu breit, sodass es sich wahrscheinlich um ein falsches Positiv handelt, wie J Rock und cayleaf festgestellt haben.

Beispielsweise stimmt jede Datei mit allen folgenden Eigenschaften mit der Signatur überein:

  • Es ist eine ELF-Datei.
  • es enthält den String "watchdog" genau zweimal;
  • es enthält den String "/ proc / self" mindestens einmal;
  • es enthält mindestens einmal die Zeichenfolge "busybox".

(Die gesamte Signatur ist etwas komplizierter, aber die oben genannten Bedingungen reichen für eine Übereinstimmung aus.)

Beispielsweise können Sie eine solche Datei erstellen mit:

$ echo 'main() {printf("watchdog watchdog /proc/self busybox");}' > innocent.c
$ gcc -o innocent innocent.c
$ clamscan --no-summary innocent
innocent: Unix.Trojan.Mirai-5607459-1 FOUND

Jeder Busybox-Build (unter Linux) entspricht normalerweise den vier oben aufgeführten Eigenschaften. Es ist offensichtlich eine ELF-Datei und sie wird auf jeden Fall die Zeichenfolge "busybox" viele Male enthalten. Es führt "/ proc / self / exe" aus , um bestimmte Applets auszuführen. Schließlich kommt "watchdog" zweimal vor: einmal als Applet-Name und einmal in der Zeichenfolge "/var/run/watchdog.pid".

nomadictype
quelle
20
Wo kann ich diese Unterschrift und andere von ClamAV aus Neugier lesen?
Délisson Junio
2
Ich wusste, dass jemand, der klüger als ich war, erklären konnte, warum es falsch positiv war. Vielen Dank!
Cayleaf
3
@ Délisson Junio: Erstelle ein leeres Verzeichnis, cd hinein und sigtool --unpack-current dailystarte sigtool --unpack-current main, um daily.cvd zu entpacken (oder main.cvd zu entpacken). Wenn Sie die resultierenden Dateien für "Unix.Trojan.Mirai-5607459-1" durchsuchen, sollten Sie die Signatur finden, die sich zufällig in daily.ldb befindet. Das Signaturformat wird in signatures.pdf erklärt (im Lieferumfang von clamav-docs in Ubuntu enthalten).
Nomadictype
6

Dies hat sich heute auch für mich in meinem ClamAV-Scan für / bin / busybox gezeigt. Ich frage mich, ob die aktualisierte Datenbank einen Fehler aufweist.

J Rock
quelle
2
Scan / bin / busybox auf jedem Ubuntu 14.04 LTS mit der neuesten ClamAV-Datenbank. Es kehrt infiziert zurück. Das ist falsch positiv, IMO.
J Rock
2
Ich habe ClamAV einen falsch positiven Bericht übermittelt. Ich habe auch festgestellt, dass VMware Player-Binärdateien mit demselben Trojaner infiziert sind. Es ist wahrscheinlich, dass sie Busybox-Code enthalten haben.
J Rock
4

Ich habe versucht, mich über SSH anzumelden, aber mein Passwort wurde nicht akzeptiert. Die Root-Anmeldung ist deaktiviert, daher habe ich die Rettungsaktion gestartet und die Root-Anmeldung aktiviert und mich als Root anmelden können. Als root habe ich versucht, das Passwort des betroffenen Accounts mit dem gleichen Passwort zu ändern, mit dem ich mich zuvor angemeldet hatte, passwd antwortete mit "Passwort unverändert". Ich habe dann das Passwort in etwas anderes geändert und mich anmelden können, dann habe ich das Passwort wieder in das ursprüngliche Passwort geändert und mich erneut anmelden können.

Das klingt nach abgelaufenem Passwort. Durch (erfolgreiches) Festlegen des Kennworts durch root wird die Kennwortablaufuhr zurückgesetzt. Sie könnten / var / log / secure (oder was auch immer das Ubuntu-Äquivalent ist) überprüfen und herausfinden, warum Ihr Passwort abgelehnt wurde.

Xalorous
quelle