이상한 SSH, 서버 보안, 해킹되었을 수 있습니다


30

내가 해킹당한 지 확실하지 않습니다.

SSH를 통해 로그인을 시도했는데 비밀번호가 허용되지 않습니다. 루트 로그인이 비활성화되어 구조를 시작하고 루트 로그인을 켜고 루트로 로그인 할 수있었습니다. 루트로서, 나는 이전에 로그인을 시도했던 것과 같은 암호로 영향을받는 계정의 암호를 변경하려고했는데 passwd"암호는 변경되지 않았습니다"라고 대답했습니다. 그런 다음 비밀번호를 다른 것으로 변경하고 로그인 할 수 있었고 비밀번호를 원래 비밀번호로 다시 변경 한 후 다시 로그인 할 수있었습니다.

auth.log비밀번호 변경을 확인 했지만 유용한 정보를 찾지 못했습니다.

또한 바이러스와 루트킷도 검사했으며 서버는 다음을 반환했습니다.

ClamAV :

"/bin/busybox Unix.Trojan.Mirai-5607459-1 FOUND"

RK 헌터 :

"/usr/bin/lwp-request Warning: The command '/usr/bin/lwp-request' has been replaced by a script: /usr/bin/lwp-request: a /usr/bin/perl -w script, ASCII text executable

Warning: Suspicious file types found in /dev:"

내 서버는 널리 알려져 있지 않습니다. 또한 SSH 포트를 변경하고 2 단계 인증을 활성화했습니다.

나는 해킹 당 했을까 걱정하고 누군가가 나를 속이려하고있다. "모든 것이 괜찮아 걱정하지 마라".


10
마이클과 동의하십시오. Mirai가 무차별 암호 추측을 사용하여 Linux 호스트 -incapsula.com/blog/malware-analysis-mirai-ddos-botnet.html 을 손상시키는 것처럼 보입니다 . 보안 목적으로 IMHO를 위해 SSH 포트를 변경하는 것보다 공개 키 인증을 사용하는 것이 좋습니다.
Josh Morel

3
@JoshMorel 더 나아가 SSH 포트를 변경하는 것은 보안에 해 롭습니다 . 그것은 아무것도 보호하는 데 도움이되지 않지만 잘못하는 사람들 더 안전 하다고 느낍니다 . 따라서 실제로 더 안전하지 않고 더 안전하다고 느끼면 이전보다 더 나빠집니다. 또한 pubkey auth가 단순히 더 좋지는 않지만 필수라고 말하고 싶습니다.
marcelm

10
"... 비밀번호를 수락하지 않습니다 ... 비밀번호가 변경되지 않았습니다."라고 대답했습니다. 비밀번호를 로그인 할 수있는 다른 비밀번호로 변경 한 후 비밀번호를 다시 원래 비밀번호로 변경했지만 여전히 사용할 수있었습니다. 로그인하기." - 구출 사용자에게 가기 전에 비밀번호를 입력하거나 캡을 잠그는 것으로 설명 할 수 있습니다.
marcelm

2
clamav에 의한 busybox 트로이 목마도 오늘 아침 ~ 100 시스템에서 처음으로 발생했습니다. 나는 거짓 긍정 투표하고 있습니다. clamav가 어젯밤
JDS

2
또한이 시스템에서 내 busybox의 sha256 해시 섬은 7fa3a176871de12832ca8a78b646bc6be92f7f528ee81d1c35bf12aa99292b1c입니다. 이들은 우분투 14.04 시스템이며 busybox bin의 mtime은 2013-11-14
JDS

답변:


30

J Rock과 마찬가지로 이것이 잘못된 긍정이라고 생각합니다. 나는 같은 경험을했다.

지리적으로 분리 된 6 개의 서로 다른 이기종 서버로부터 짧은 시간 동안 경보를 받았습니다. 이 서버 중 4 개는 개인 네트워크에만 존재했습니다. 그들이 공통적으로 한 가지는 최근 daily.cld 업데이트였습니다.

따라서이 트로이 목마의 일반적인 휴리스틱을 확인하지 않고 확인한 후, 알려진 기본 기준으로 빈 상자를 부팅하고 freshclam을 실행했습니다. 이것은 잡았다

"daily.cld가 최신 버전입니다 (버전 : 22950, ​​sigs : 1465879, f- 레벨 : 63, builder : neo)"

후속 clamav /bin/busybox서버는 원래 서버에서 동일한 "/ bin / busybox Unix.Trojan.Mirai-5607459-1 FOUND"경고를 반환했습니다.

마지막으로, 좋은 법안을 위해, 나는 또한 우분투의 공식에서 방랑 상자 한 상자 도 "/ 빈 / 비지 박스 Unix.Trojan.Mirai-5607459-1 FOUND"같은 얻었다 (참고, 나는이 방랑 상자의 메모리를 최대로했다 기본 512MB 또는 clamscan에서 'killed'로 실패)

신선한 우분투 14.04.5 향기로운 상자에서 전체 출력.

root@vagrant-ubuntu-trusty-64:~# freshclam
ClamAV update process started at Fri Jan 27 03:28:30 2017
main.cvd is up to date (version: 57, sigs: 4218790, f-level: 60, builder: amishhammer)
daily.cvd is up to date (version: 22950, sigs: 1465879, f-level: 63, builder: neo)
bytecode.cvd is up to date (version: 290, sigs: 55, f-level: 63, builder: neo)
root@vagrant-ubuntu-trusty-64:~# clamscan /bin/busybox
/bin/busybox: Unix.Trojan.Mirai-5607459-1 FOUND

----------- SCAN SUMMARY -----------
Known viruses: 5679215
Engine version: 0.99.2
Scanned directories: 0
Scanned files: 1
Infected files: 1
Data scanned: 1.84 MB
Data read: 1.83 MB (ratio 1.01:1)
Time: 7.556 sec (0 m 7 s)
root@vagrant-ubuntu-trusty-64:~#

따라서 나는 이것이 거짓 긍정 일 가능성이 있다고 생각합니다.

rkhunter는 "/ usr / bin / lwp-request Warning"참조를 제공 하지 않았 으므로 PhysiOS Quantum에 둘 이상의 문제가있을 수 있습니다.

편집 : 나는이 서버가 모두 우분투 14.04라고 명시 적으로 말한 적이 없다는 것을 알았습니다. 다른 버전은 다를 수 있습니까?


1
pubkey에 대한 SSH 인증을 변경하고 네트워크 연결을 모니터링하려고 시도하지만 솔직히 암호를 복사하여 붙여 넣은 후에도 여전히 거부되기 때문에 실제로 더 심각합니다. / usr / bin / lwp-request로 무엇을해야합니까?
PhysiOS

1
오늘 아침 우분투 14.04 서버에서이 알림을 받았습니다. sha1sum서버 /bin/busybox파일을 ( ) 우분투 이미지에서 생성 된 로컬 VM의 동일한 파일과 비교 한 결과가 동일합니다. 그래서 나는 거짓 긍정 투표합니다.
agregoire

3
@PhysiOSQuantum 아무것도 없습니다. lwp-request는 Perl 모듈 ( metacpan.org/pod/LWP ) 과 관련된 도구 이므로 스크립트가되는 것이 일반적입니다.
duskwuff

45

Unix.Trojan.Mirai-5607459-1의 ClamAV 서명은 너무 넓기 때문에 J Rock과 cayleaf가 지적한 것처럼 오 탐지 가능성이 높습니다.

예를 들어 다음 속성이 모두있는 파일은 서명과 일치합니다.

  • ELF 파일입니다.
  • "watchdog"문자열이 정확히 두 번 포함됩니다.
  • 문자열 "/ proc / self"를 적어도 한 번 포함합니다.
  • "busybox"라는 문자열이 한 번 이상 포함되어 있습니다.

(전체 서명은 조금 더 복잡하지만 위의 조건이 일치하기에 충분합니다.)

예를 들어 다음과 같은 파일을 만들 수 있습니다.

$ echo 'main() {printf("watchdog watchdog /proc/self busybox");}' > innocent.c
$ gcc -o innocent innocent.c
$ clamscan --no-summary innocent
innocent: Unix.Trojan.Mirai-5607459-1 FOUND

busybox 빌드 (Linux)는 일반적으로 위에 나열된 네 가지 속성과 일치합니다. 분명히 ELF 파일이며 문자열 "busybox"를 여러 번 포함합니다. 그것은 "/ proc 디렉토리 / 자기 / EXE"를 실행하는 특정 애플릿을 실행합니다. 마지막으로 "watchdog"은 두 번 발생합니다. 한 번은 애플릿 이름으로, 한 번은 "/var/run/watchdog.pid"문자열 안에 있습니다.


20
호기심으로 그 서명과 ClamAV의 다른 사람들을 어디에서 읽을 수 있습니까?
Délisson Junio ​​2012

2
나보다 똑똑한 사람이 그것이 오 탐지 인지 설명 할 수 있다는 것을 알았습니다 . 감사!
cayleaf

3
@ Délisson Junio ​​: 빈 디렉토리를 작성하고 cd로 sigtool --unpack-current daily들어와 daily.cvd의 압축을 풉니 다 (또는 sigtool --unpack-current mainmain.cvd의 압축을 풉니 다). "Unix.Trojan.Mirai-5607459-1"에 대한 결과 파일을 grep하는 경우 daily.ldb에있는 서명을 찾아야합니다. 에 설명되어 서명 형식 signatures.pdf은 (우분투은 ClamAV-문서 패키지와 함께 제공).
nomadictype

6

이것은 / bin / busybox에 대한 ClamAV 스캔에서도 오늘 나에게 나타났습니다. 업데이트 된 데이터베이스에 오류가 있는지 궁금합니다.


2
최신 ClamAV 데이터베이스를 사용하여 Ubuntu 14.04 LTS에서 / bin / busybox를 스캔하십시오. 감염된 상태로 반환됩니다. 이것은 거짓 긍정입니다.
J Rock

2
ClamAV에 오 탐지 보고서를 제출했습니다. 또한 vmware 플레이어 바이너리가 동일한 트로이 목마에 감염된 것으로 나타납니다. 통화 중 코드가 포함되었을 수 있습니다.
J Rock

4

SSH를 통해 로그인을 시도했는데 비밀번호가 허용되지 않습니다. 루트 로그인이 비활성화되어 구조를 시작하고 루트 로그인을 켜고 루트로 로그인 할 수있었습니다. root로서, 나는 이전에 로그인을 시도했던 것과 같은 암호로 영향을받는 계정의 암호를 변경하려고 시도했습니다. passwd는 "password unchanged"로 응답했습니다. 그런 다음 비밀번호를 다른 것으로 변경하고 로그인 할 수 있었고 비밀번호를 원래 비밀번호로 다시 변경 한 후 다시 로그인 할 수있었습니다.

비밀번호가 만료 된 것 같습니다. 루트로 비밀번호를 성공적으로 설정하면 비밀번호 만료 시계가 재설정됩니다. 당신이 확인은 / var / 로그 / 보안 (또는 우분투 상응하는 무엇이든)와 비밀번호가 거부 된 이유를 찾을 수 있습니다.

당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.