Strano SSH, sicurezza del server, avrei potuto essere hackerato

30

Non sono sicuro di essere stato violato o meno.

Ho provato ad accedere tramite SSH e non avrebbe accettato la mia password. L'accesso root è disabilitato, quindi sono andato in soccorso e ho attivato l'accesso root e sono stato in grado di accedere come root. Come root, ho provato a cambiare la password dell'account interessato con la stessa password con cui avevo provato ad accedere prima, passwdrispondendo con "password invariata". Ho quindi cambiato la password in qualcos'altro e sono stato in grado di accedere, quindi ho cambiato la password con la password originale e sono stato di nuovo in grado di accedere.

Ho controllato le auth.logmodifiche alla password ma non ho trovato nulla di utile.

Ho anche cercato virus e rootkit e il server ha restituito questo:

ClamAV: 

"/bin/busybox Unix.Trojan.Mirai-5607459-1 FOUND"

rkhunter: 

"/usr/bin/lwp-request Warning: The command '/usr/bin/lwp-request' has been replaced by a script: /usr/bin/lwp-request: a /usr/bin/perl -w script, ASCII text executable

Warning: Suspicious file types found in /dev:"

Va notato che il mio server non è ampiamente conosciuto. Ho anche cambiato la porta SSH e abilitato la verifica in due passaggi.

Sono preoccupato di essere stato violato e qualcuno sta cercando di ingannarmi, "va tutto bene, non preoccuparti".

linux  ssh  security  hacking 
fisioterapisti
fonte
10
Sono d'accordo con Michael. Sembra che Mirai usi la password della forza bruta per compromettere gli host Linux - incapsula.com/blog/malware-analysis-mirai-ddos-botnet.html . Utilizzare l'autenticazione con chiave pubblica sarebbe meglio che cambiare la porta SSH per motivi di sicurezza IMHO.
Josh Morel,
3
@JoshMorel Vorrei andare oltre e dire che cambiare la porta SSH è dannoso per la sicurezza. Non aiuta a proteggere nulla, ma le persone che lo fanno erroneamente si sentono più sicure. Quindi, sentendosi più sicuri senza essere più sicuri, stanno peggio di prima. Inoltre, direi che l'autenticazione pubkey non è semplicemente migliore, ma un must.
marcelm
10
"... non avrebbe accettato la mia password ... ha risposto" password invariata "... dopo aver cambiato la password in qualcos'altro sono stato in grado di accedere, ho cambiato la password di nuovo in quello che era e sono stato ancora in grado per accedere ". - Tutto ciò che potrebbe essere spiegato da te facendo errori di battitura nella tua password (o avendo il blocco maiuscole attivo) prima di andare all'utente di soccorso.
marzo
2
il rilevamento del trojan busybox da parte di clamav è avvenuto anche a me, questa mattina per la prima volta in assoluto, su ~ 100 sistemi; Sto votando falsi positivi. Immagino che Clamav abbia aggiornato il loro database di sig per far sì che questo falso positivo iniziasse ad apparire durante la notte della scorsa notte
JDS
2
Per inciso, l'hashs sha256 della mia busybox su questi sistemi è 7fa3a176871de12832ca8a78b646bc6be92f7f528ee81d1c35bf12aa99292b1c. Questi sono i sistemi ubuntu 14.04 e il mtime sul cestino di busybox è 14/11/2013
JDS

Risposte:

30

Come J Rock, penso che questo sia un falso positivo. Ho avuto la stessa esperienza.

Ho ricevuto un allarme da 6 server diversi, disparati, geograficamente separati in breve tempo. 4 di questi server esistevano solo su una rete privata. L'unica cosa che avevano in comune era un recente aggiornamento daily.cld.

Quindi, dopo aver verificato alcune delle euristiche tipiche di questo trojan senza successo, ho avviato una scatola vagabonda con la mia nota linea di base pulita e ho eseguito FreshCam. Questo ha afferrato

"daily.cld è aggiornato (versione: 22950, ​​sigs: 1465879, livello f: 63, costruttore: neo)"

Un successivo ha clamav /bin/busyboxrestituito lo stesso avviso "/ bin / busybox Unix.Trojan.Mirai-5607459-1 TROVATO" sui server originali.

Infine, per buona misura, ho anche fatto una scatola di vagabondo da ufficiale di Ubuntu box e anche ottenuto lo stesso "/ bin / busybox Unix.Trojan.Mirai-5.607.459-1 found" (Nota, ho dovuto la memoria su questa casella vagabondo dai suoi 512 MB predefiniti o Clamscan non è riuscito con "ucciso")

Uscita completa dalla nuova confezione di Ubuntu 14.04.5.

root@vagrant-ubuntu-trusty-64:~# freshclam
ClamAV update process started at Fri Jan 27 03:28:30 2017
main.cvd is up to date (version: 57, sigs: 4218790, f-level: 60, builder: amishhammer)
daily.cvd is up to date (version: 22950, sigs: 1465879, f-level: 63, builder: neo)
bytecode.cvd is up to date (version: 290, sigs: 55, f-level: 63, builder: neo)
root@vagrant-ubuntu-trusty-64:~# clamscan /bin/busybox
/bin/busybox: Unix.Trojan.Mirai-5607459-1 FOUND

----------- SCAN SUMMARY -----------
Known viruses: 5679215
Engine version: 0.99.2
Scanned directories: 0
Scanned files: 1
Infected files: 1
Data scanned: 1.84 MB
Data read: 1.83 MB (ratio 1.01:1)
Time: 7.556 sec (0 m 7 s)
root@vagrant-ubuntu-trusty-64:~#

Quindi, credo anche che questo sia probabilmente un falso positivo.

Dirò, rkhunter non mi ha dato il riferimento: "/ usr / bin / lwp-request Warning", quindi forse PhysiOS Quantum ha più di un problema.

EDIT: ho appena notato che non ho mai detto esplicitamente che tutti questi server sono Ubuntu 14.04. Altre versioni possono variare?

cayleaf
fonte
1
Ho intenzione di cambiare la mia autenticazione SSH per un pubkey e cercherò di monitorare le connessioni di rete, ma onestamente è davvero strano perché ho anche copiato e incollato la password e ancora l'ha rifiutata. Cosa devo fare con la richiesta / usr / bin / lwp?
PhysiOS,
1
Ho ricevuto questa notifica anche questa mattina su un server Ubuntu 14.04. Ho confrontato ( sha1sum) il /bin/busyboxfile del mio server con lo stesso file su una VM locale creata da un'immagine Ubuntu e sono identici. Quindi voto anche falso positivo.
agregoire,
3
@PhysiOSQuantum Nothing. Anche questo è un falso positivo: lwp-request è uno strumento correlato a un modulo Perl ( metacpan.org/pod/LWP ), quindi è perfettamente normale che sia uno script.
duskwuff,
45

La firma ClamAV per Unix.Trojan.Mirai-5607459-1 è decisamente troppo ampia, quindi è probabilmente un falso positivo, come notato da J Rock e cayleaf.

Ad esempio, qualsiasi file con tutte le seguenti proprietà corrisponderà alla firma:

  • è un file ELF;
  • contiene la stringa "watchdog" esattamente due volte;
  • contiene la stringa "/ proc / self" almeno una volta;
  • contiene la stringa "busybox" almeno una volta.

(L'intera firma è un po 'più complicata, ma le condizioni di cui sopra sono sufficienti per una partita.)

Ad esempio, puoi creare un tale file con:

$ echo 'main() {printf("watchdog watchdog /proc/self busybox");}' > innocent.c
$ gcc -o innocent innocent.c
$ clamscan --no-summary innocent
innocent: Unix.Trojan.Mirai-5607459-1 FOUND

Qualsiasi build busybox (su Linux) di solito corrisponderà alle quattro proprietà che ho elencato sopra. È ovviamente un file ELF e conterrà sicuramente più volte la stringa "busybox". Si esegue "/ proc / self / exe" per eseguire alcuni tipi di applet. Infine, "watchdog" viene visualizzato due volte: una volta come nome dell'applet e una volta all'interno della stringa "/var/run/watchdog.pid".

nomadictype
fonte
20
Dove posso leggere quella firma, e altri da ClamAV, per curiosità?
Délisson Junio,
2
Sapevo che qualcuno più intelligente di me sarebbe stato in grado di spiegare perché fosse un falso positivo. Grazie!
cayleaf,
3
@ Délisson Junio: crea una directory vuota, inseriscila in cd ed sigtool --unpack-current dailyeseguila per decomprimere daily.cvd (o sigtool --unpack-current mainper decomprimere main.cvd). Se si grep i file risultanti per "Unix.Trojan.Mirai-5607459-1", è necessario trovare la firma, che si trova in daily.ldb. Il formato della firma è spiegato in signatures.pdf (viene fornito con il pacchetto clamav-docs in Ubuntu).
nomadictype il
6

Questo è apparso oggi anche per me nella mia scansione ClamAV per / bin / busybox. Mi chiedo se il database aggiornato ha un errore.

J Rock
fonte
2
Scansione / bin / busybox su qualsiasi Ubuntu 14.04 LTS con l'ultimo database ClamAV. Restituisce infetto. Questo è un falso positivo, IMO.
J Rock,
2
Ho inviato un rapporto falso positivo a ClamAV. Ho anche scoperto che i file binari del lettore vmware appaiono infetti con lo stesso trojan. È probabile che abbiano incluso il codice busybox.
J Rock,
4

Ho provato ad accedere tramite SSH e non avrebbe accettato la mia password. L'accesso root è disabilitato, quindi sono andato in soccorso e ho attivato l'accesso root ed è stato possibile accedere come root. Come root, ho provato a cambiare la password dell'account interessato con la stessa password con cui avevo provato ad accedere prima, passwd ha risposto con "password invariata". Ho quindi cambiato la password in qualcos'altro e sono stato in grado di accedere, quindi ho cambiato la password con la password originale e sono stato di nuovo in grado di accedere.

Sembra una password scaduta. L'impostazione della password (corretta) da parte di root ripristina l'orologio di scadenza della password. Si potrebbe controllare / var / log / secure (o qualsiasi altra cosa è l'equivalente di Ubuntu) e scoprire il motivo per cui la password è stata respinta.

Xalorous
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.