主页 / server / 问题 / 828888
Accepted
PhysiOS
Asked: 2017-01-27 17:39:43 +0800 CST

奇怪的 SSH,服务器安全,我可能被黑了

  • 772

我不确定我是否被黑客入侵。

我尝试通过 SSH 登录,但它不接受我的密码。根登录被禁用,所以我去救援并打开根登录并能够以根登录。作为root,我尝试使用我之前尝试登录的相同密码更改受影响帐户的密码,并passwd回复“密码未更改”。然后我将密码更改为其他密码并能够登录,然后将密码更改回原始密码,我再次能够登录。

我检查auth.log了密码更改,但没有发现任何有用的信息。

我还扫描了病毒和 rootkit,服务器返回了这个:

蛤蜊AV:

"/bin/busybox Unix.Trojan.Mirai-5607459-1 FOUND"

RK猎人:

"/usr/bin/lwp-request Warning: The command '/usr/bin/lwp-request' has been replaced by a script: /usr/bin/lwp-request: a /usr/bin/perl -w script, ASCII text executable

Warning: Suspicious file types found in /dev:"

应该注意的是,我的服务器并不广为人知。我还更改了 SSH 端口并启用了两步验证。

我担心我被黑了,有人试图愚弄我,“一切都很好,别担心”。

linux security ssh hacking

4 个回答

  1. Unix.Trojan.Mirai-5607459-1 的 ClamAV 签名肯定太宽泛了,所以它可能是误报,正如 J Rock 和 cayleaf 所指出的那样。

    例如,任何具有以下所有属性的文件都将匹配签名:

    • 这是一个 ELF 文件;
    • 它包含字符串“watchdog”恰好两次;
    • 它至少包含一次字符串“/proc/self”;
    • 它至少包含一次字符串“busybox”。

    (整个签名稍微复杂一些,但以上条件足以匹配。)

    例如,您可以使用以下命令创建这样的文件:

    $ echo 'main() {printf("watchdog watchdog /proc/self busybox");}' > innocent.c
$ gcc -o innocent innocent.c
$ clamscan --no-summary innocent
innocent: Unix.Trojan.Mirai-5607459-1 FOUND

    任何busybox 构建(在Linux 上)通常都会匹配我上面列出的四个属性。这显然是一个 ELF 文件,它肯定会多次包含字符串“busybox”。它执行“/proc/self/exe”来运行某些小程序。最后,“看门狗”出现了两次:一次作为小程序名称,一次在字符串“/var/run/watchdog.pid”中。

    • 44
  2. Best Answer

    像 J Rock 一样,我认为这是一个误报。我也有同样的经历。

    我在很短的时间内收到了来自 6 个不同的、不同的、地理上分开的服务器的警报。其中 4 台服务器仅存在于专用网络上。他们的共同点是最近的 daily.cld 更新。

    因此,在检查了这个木马的一些典型启发式但没有成功后,我用我已知的干净基线启动了一个 vagrant box 并运行了freshclam。这抓住了

    “daily.cld 是最新的(版本:22950,sigs:1465879,f-level:63,builder:neo)”

    随后clamav /bin/busybox在原始服务器上返回了相同的“/bin/busybox Unix.Trojan.Mirai-5607459-1 FOUND”警报。

    最后,为了更好的衡量,我还从 Ubuntu 的官方盒子中做了一个流浪盒子,也得到了相同的“/bin/busybox Unix.Trojan.Mirai-5607459-1 FOUND”(注意,我必须在这个流浪盒子上增加内存从其默认的 512MB 或 clamscan 失败并显示“killed”)

    全新 Ubuntu 14.04.5 vagrant box 的完整输出。

    root@vagrant-ubuntu-trusty-64:~# freshclam
ClamAV update process started at Fri Jan 27 03:28:30 2017
main.cvd is up to date (version: 57, sigs: 4218790, f-level: 60, builder: amishhammer)
daily.cvd is up to date (version: 22950, sigs: 1465879, f-level: 63, builder: neo)
bytecode.cvd is up to date (version: 290, sigs: 55, f-level: 63, builder: neo)
root@vagrant-ubuntu-trusty-64:~# clamscan /bin/busybox
/bin/busybox: Unix.Trojan.Mirai-5607459-1 FOUND

----------- SCAN SUMMARY -----------
Known viruses: 5679215
Engine version: 0.99.2
Scanned directories: 0
Scanned files: 1
Infected files: 1
Data scanned: 1.84 MB
Data read: 1.83 MB (ratio 1.01:1)
Time: 7.556 sec (0 m 7 s)
root@vagrant-ubuntu-trusty-64:~#

    所以,我也相信这很可能是误报。

    我会说,rkhunter 没有我:“/usr/bin/lwp-request 警告”参考,所以可能 PhysiOS Quantum 有不止一个问题。

    编辑:刚刚注意到我从未明确说过所有这些服务器都是 Ubuntu 14.04。其他版本可能会有所不同?

    • 32

  3. 今天刚刚在我对 /bin/busybox 的 ClamAV 扫描中也出现了这种情况。我想知道更新的数据库是否有错误。

    • 6

  4. 我尝试通过 SSH 登录,但它不接受我的密码。根登录被禁用,所以我去救援并打开根登录并能够以根登录。作为root,我尝试用我之前尝试登录的相同密码更改受影响帐户的密码,passwd 回复“密码未更改”。然后我将密码更改为其他密码并能够登录,然后将密码更改回原始密码,我再次能够登录。

    这听起来像是过期的密码。由 root 设置密码(成功)会重置密码到期时钟。您可以检查 /var/log/secure (或任何 Ubuntu 等效项)并找出您的密码被拒绝的原因。

    • 4

相关问题