Дивний SSH, безпека сервера, мене, можливо, зламали

Я не впевнений, зламали мене чи ні.

Я спробував увійти через SSH, і він не прийняв мій пароль. Кореневий логін вимкнено, тому я пішов на порятунок і ввімкнув кореневий логін і зміг увійти як root. Як root, я намагався змінити пароль пошкодженого облікового запису тим самим паролем, з яким я намагався ввійти раніше, passwdвідповів "паролем незмінним". Потім я змінив пароль на щось інше і зміг увійти, потім змінив пароль на початковий пароль, і я знову зміг увійти.

Я перевірив auth.logзміни пароля, але не знайшов нічого корисного.

Я також перевіряв наявність вірусів і руткітів, і сервер повертав це:

ClamAV:

"/bin/busybox Unix.Trojan.Mirai-5607459-1 FOUND"

RKHunter:

"/usr/bin/lwp-request Warning: The command '/usr/bin/lwp-request' has been replaced by a script: /usr/bin/lwp-request: a /usr/bin/perl -w script, ASCII text executable

Warning: Suspicious file types found in /dev:"

Слід зазначити, що мій сервер не відомий широко. Я також змінив порт SSH та включив двоетапну перевірку.

Мене хвилює, що мене зламали, і хтось намагається мене обдурити, "все нормально, не турбуйся про це".

Як і J Rock, я думаю, що це хибний позитив. У мене був такий же досвід.

Я отримав тривогу від 6 різних, розрізнених, географічно розділених серверів за короткий проміжок часу. 4 з цих серверів існували лише в приватній мережі. Єдине, що у них було спільним, - це нещодавнє оновлення daily.cld.

Отож, перевіривши, чи не є типова евристика цього трояна без успіху, я завантажив бродячу коробку зі своїм відомим чистим базовим рівнем та побіг freshclam. Це схопило

"оновлено daily.cld (версія: 22950, ​​sigs: 1465879, f-level: 63, builder: neo)"

Наступне clamav /bin/busyboxповертало те саме "/ bin / busybox Unix.Trojan.Mirai-5607459-1 FOUND" на попередні сервери.

Нарешті, для гарної міри, я також зробив візитну коробку з офіційної коробки Ubuntu і також отримав те саме "/ bin / busybox Unix.Trojan.Mirai-5607459-1 ЗНАЙДЕН" з його замовчуванням 512 Мб або молюск не вдалося з "убитим")

Повний вихід із свіжої бродячої коробки Ubuntu 14.04.5.

root@vagrant-ubuntu-trusty-64:~# freshclam
ClamAV update process started at Fri Jan 27 03:28:30 2017
main.cvd is up to date (version: 57, sigs: 4218790, f-level: 60, builder: amishhammer)
daily.cvd is up to date (version: 22950, sigs: 1465879, f-level: 63, builder: neo)
bytecode.cvd is up to date (version: 290, sigs: 55, f-level: 63, builder: neo)
root@vagrant-ubuntu-trusty-64:~# clamscan /bin/busybox
/bin/busybox: Unix.Trojan.Mirai-5607459-1 FOUND

----------- SCAN SUMMARY -----------
Known viruses: 5679215
Engine version: 0.99.2
Scanned directories: 0
Scanned files: 1
Infected files: 1
Data scanned: 1.84 MB
Data read: 1.83 MB (ratio 1.01:1)
Time: 7.556 sec (0 m 7 s)
root@vagrant-ubuntu-trusty-64:~#

Тож я також вважаю, що це, мабуть, помилковий позитив.

Скажу, rkhunter не дав мені посилання: "/ usr / bin / lwp-request Warning", тому, можливо, у PhysiOS Quantum виникає більше одного питання.

EDIT: щойно помітив, що я ніколи прямо не сказав, що всі ці сервери є Ubuntu 14.04. Інші версії можуть відрізнятися?

Підпис ClamAV для Unix.Trojan.Mirai-5607459-1, безумовно, занадто широкий, тому, ймовірно, помилковий позитив, як зазначають J Rock і Cayleaf.

Наприклад, будь-який файл, який має всі наведені нижче властивості, буде відповідати підпису:

• це файл ELF;
• він містить рядок "сторожовий пес" рівно двічі;
• він містить рядок "/ proc / self" принаймні один раз;
• вона містить принаймні один раз рядок "busybox".

(Весь підпис трохи складніше, але вищезазначені умови є достатніми для відповідності.)

Наприклад, ви можете створити такий файл за допомогою:

$ echo 'main() {printf("watchdog watchdog /proc/self busybox");}' > innocent.c
$ gcc -o innocent innocent.c
$ clamscan --no-summary innocent
innocent: Unix.Trojan.Mirai-5607459-1 FOUND

Будь-яка збірка зайнятих (в Linux) зазвичай відповідає чотирьом властивостям, переліченим вище. Це, очевидно, файл ELF, і він неодмінно буде містити рядок "busybox" багато разів. Він виконує "/ proc / self / exe" для запуску певних аплетів. Нарешті, "сторожова собака" виникає двічі: один раз як назва аплету та один раз всередині рядка "/var/run/watchdog.pid".

Це щойно з’явилося сьогодні і для мене в скануванні ClamAV для / bin / busybox. Мені цікаво, чи є в оновленій базі даних помилка.

Я спробував увійти через SSH, і він не прийняв мій пароль. Кореневий логін вимкнено, тому я пішов на порятунок і ввімкнув кореневий логін і зміг увійти як root. Як root, я намагався змінити пароль пошкодженого облікового запису тим самим паролем, з яким я намагався увійти раніше, passwd відповів "паролем незмінним". Потім я змінив пароль на щось інше і зміг увійти, потім змінив пароль на початковий пароль, і я знову зміг увійти.

Це звучить як пароль з минулим терміном дії. Встановлення пароля (успішно) кореневим параметром скидає годинник терміну дії пароля. Ви можете перевірити / var / log / secure (або будь-який еквівалент Ubuntu) та дізнатися, чому ваш пароль відхилено.