web-dev-qa-db-fra.com

SSH bizarre, sécurité du serveur, j'ai peut-être été piraté

Je ne sais pas si j'ai été piraté ou non.

J'ai essayé de me connecter via SSH et il n'a pas accepté mon mot de passe. La connexion root est désactivée, je suis donc allé à la rescousse et j'ai activé la connexion root et j'ai pu me connecter en tant que root. En tant que root, j'ai essayé de changer le mot de passe du compte affecté avec le même mot de passe avec lequel j'avais essayé de me connecter auparavant, passwd a répondu avec "mot de passe inchangé". J'ai ensuite changé le mot de passe pour quelque chose d'autre et j'ai pu me connecter, puis j'ai changé le mot de passe pour le mot de passe d'origine et j'ai de nouveau pu me connecter.

J'ai vérifié auth.log pour les changements de mot de passe mais n'a rien trouvé d'utile.

J'ai également analysé les virus et les rootkits et le serveur a renvoyé ceci:

ClamAV:

"/bin/busybox Unix.Trojan.Mirai-5607459-1 FOUND"

RKHunter:

"/usr/bin/lwp-request Warning: The command '/usr/bin/lwp-request' has been replaced by a script: /usr/bin/lwp-request: a /usr/bin/Perl -w script, ASCII text executable

Warning: Suspicious file types found in /dev:"

Il convient de noter que mon serveur n'est pas largement connu. J'ai également changé le port SSH et activé la vérification en 2 étapes.

Je suis inquiet d'avoir été piraté et quelqu'un essaie de me tromper, "tout va bien ne t'en fais pas".

30
PhysiOS

Comme J Rock, je pense que c'est un faux positif. J'ai vécu la même expérience.

J'ai reçu une alarme de 6 serveurs différents, disparates et géographiquement séparés dans un court laps de temps. 4 de ces serveurs n'existaient que sur un réseau privé. La seule chose qu'ils avaient en commun était une récente mise à jour daily.cld.

Donc, après avoir vérifié sans succès certaines des heuristiques typiques de ce cheval de Troie, j'ai démarré une boîte vagabonde avec ma ligne de base propre connue et j'ai exécuté freshclam. Cette saisie

"daily.cld est à jour (version: 22950, ​​sigs: 1465879, niveau f: 63, constructeur: neo)"

Un clamav /bin/busybox a renvoyé la même alerte "/ bin/busybox Unix.Trojan.Mirai-5607459-1 FOUND" sur les serveurs d'origine.

Enfin, pour faire bonne mesure, j'ai également fait une boîte vagabonde du responsable d'Ubuntu box et j'ai également obtenu le même "/ bin/busybox Unix.Trojan.Mirai-5607459-1 FOUND" (Remarque, je devais la mémoire sur cette boîte vagabonde de sa 512 Mo par défaut ou clamscan a échoué avec "tué")

Sortie complète de la nouvelle boîte vagabonde Ubuntu 14.04.5.

[email protected]:~# freshclam
ClamAV update process started at Fri Jan 27 03:28:30 2017
main.cvd is up to date (version: 57, sigs: 4218790, f-level: 60, builder: amishhammer)
daily.cvd is up to date (version: 22950, sigs: 1465879, f-level: 63, builder: neo)
bytecode.cvd is up to date (version: 290, sigs: 55, f-level: 63, builder: neo)
[email protected]:~# clamscan /bin/busybox
/bin/busybox: Unix.Trojan.Mirai-5607459-1 FOUND

----------- SCAN SUMMARY -----------
Known viruses: 5679215
Engine version: 0.99.2
Scanned directories: 0
Scanned files: 1
Infected files: 1
Data scanned: 1.84 MB
Data read: 1.83 MB (ratio 1.01:1)
Time: 7.556 sec (0 m 7 s)
[email protected]:~#

Donc, je pense aussi que cela risque d'être un faux positif.

Je dirai que rkhunter ne m'a pas donné la référence: "/ usr/bin/lwp-request Warning", alors peut-être que PhysiOS Quantum a plus de un problème.

EDIT: je viens de remarquer que je n'ai jamais dit explicitement que tous ces serveurs sont Ubuntu 14.04. D'autres versions peuvent varier?

30
cayleaf

La signature ClamAV pour Unix.Trojan.Mirai-5607459-1 est définitivement trop large, donc c'est probablement un faux positif, comme l'ont noté J Rock et cayleaf.

Par exemple, tout fichier possédant toutes les propriétés suivantes correspondra à la signature:

  • c'est un fichier ELF;
  • il contient la chaîne "watchdog" exactement deux fois;
  • il contient au moins une fois la chaîne "/ proc/self";
  • il contient au moins une fois la chaîne "busybox".

(La signature entière est un peu plus compliquée, mais les conditions ci-dessus sont suffisantes pour un match.)

Par exemple, vous pouvez créer un tel fichier avec:

$ echo 'main() {printf("watchdog watchdog /proc/self busybox");}' > innocent.c
$ gcc -o innocent innocent.c
$ clamscan --no-summary innocent
innocent: Unix.Trojan.Mirai-5607459-1 FOUND

Toute construction de boîte occupée (sous Linux) correspondra généralement aux quatre propriétés que j'ai énumérées ci-dessus. C'est évidemment un fichier ELF et il contiendra certainement la chaîne "busybox" plusieurs fois. Il exécute "/ proc/self/exe" pour exécuter certaines applets. Enfin, "watchdog" apparaît deux fois: une fois comme nom d'applet et une fois dans la chaîne "/var/run/watchdog.pid".

45
nomadictype

Cela s'est également révélé aujourd'hui pour moi dans mon analyse ClamAV pour/bin/busybox. Je me demande si la base de données mise à jour contient une erreur.

6
J Rock

J'ai essayé de me connecter via SSH et il n'a pas accepté mon mot de passe. La connexion root est désactivée, je suis donc allé à la rescousse et j'ai activé la connexion root et j'ai pu me connecter en tant que root. En tant que root, j'ai essayé de changer le mot de passe du compte affecté avec le même mot de passe avec lequel j'avais essayé de me connecter auparavant, passwd a répondu avec "mot de passe inchangé". J'ai ensuite changé le mot de passe pour quelque chose d'autre et j'ai pu me connecter, puis j'ai changé le mot de passe pour le mot de passe d'origine et j'ai de nouveau pu me connecter.

Cela ressemble à un mot de passe expiré. La définition du mot de passe (avec succès) par root réinitialise l'horloge d'expiration du mot de passe. Vous pourriez vérifier/var/log/secure (ou quel que soit l'équivalent d'Ubuntu) et découvrir pourquoi votre mot de passe a été rejeté.

4
Xalorous