奇怪的 SSH,伺服器安全,我可能被黑了
我不確定我是否被黑客入侵。
我嘗試通過 SSH 登錄,但它不接受我的密碼。根登錄被禁用,所以我去救援並打開根登錄並能夠以根登錄。作為root,我嘗試使用我之前嘗試登錄的相同密碼更改受影響帳戶的密碼,並
passwd回复“密碼未更改”。然後我將密碼更改為其他密碼並能夠登錄,然後將密碼更改回原始密碼,我再次能夠登錄。我檢查
auth.log了密碼更改,但沒有發現任何有用的資訊。我還掃描了病毒和 rootkit,伺服器返回了這個:
蛤蜊AV:
"/bin/busybox Unix.Trojan.Mirai-5607459-1 FOUND"RK獵人:
"/usr/bin/lwp-request Warning: The command '/usr/bin/lwp-request' has been replaced by a script: /usr/bin/lwp-request: a /usr/bin/perl -w script, ASCII text executable Warning: Suspicious file types found in /dev:"應該注意的是,我的伺服器並不廣為人知。我還更改了 SSH 埠並啟用了兩步驗證。
我擔心我被黑了,有人試圖愚弄我,“一切都很好,別擔心”。
像 J Rock 一樣,我認為這是一個誤報。我也有同樣的經歷。
我在很短的時間內收到了來自 6 個不同的、不同的、地理上分開的伺服器的警報。其中 4 台伺服器僅存在於專用網路上。他們的共同點是最近的 daily.cld 更新。
因此,在檢查了這個木馬的一些典型啟發式但沒有成功之後,我用我已知的干淨基線啟動了一個 vagrant box 並執行了freshclam。這抓住了
“daily.cld 是最新的(版本:22950,sigs:1465879,f-level:63,builder:neo)”
隨後
clamav /bin/busybox在原始伺服器上返回了相同的“/bin/busybox Unix.Trojan.Mirai-5607459-1 FOUND”警報。最後,為了更好的衡量,我還從 Ubuntu 的官方盒子中做了一個流浪盒子,也得到了相同的“/bin/busybox Unix.Trojan.Mirai-5607459-1 FOUND”(注意,我必須在這個流浪盒子上增加記憶體從其預設的 512MB 或 clamscan 失敗並顯示“killed”)
全新 Ubuntu 14.04.5 vagrant box 的完整輸出。
root@vagrant-ubuntu-trusty-64:~# freshclam ClamAV update process started at Fri Jan 27 03:28:30 2017 main.cvd is up to date (version: 57, sigs: 4218790, f-level: 60, builder: amishhammer) daily.cvd is up to date (version: 22950, sigs: 1465879, f-level: 63, builder: neo) bytecode.cvd is up to date (version: 290, sigs: 55, f-level: 63, builder: neo) root@vagrant-ubuntu-trusty-64:~# clamscan /bin/busybox /bin/busybox: Unix.Trojan.Mirai-5607459-1 FOUND ----------- SCAN SUMMARY ----------- Known viruses: 5679215 Engine version: 0.99.2 Scanned directories: 0 Scanned files: 1 Infected files: 1 Data scanned: 1.84 MB Data read: 1.83 MB (ratio 1.01:1) Time: 7.556 sec (0 m 7 s) root@vagrant-ubuntu-trusty-64:~#所以,我也相信這很可能是誤報。
我會說,rkhunter 沒有給我:“/usr/bin/lwp-request 警告”參考,所以可能 PhysiOS Quantum 有不止一個問題。
編輯:剛剛注意到我從未明確說過所有這些伺服器都是 Ubuntu 14.04。其他版本可能會有所不同?