奇妙なSSH、サーバーセキュリティ、ハッキングされた可能性があります

ハッキングされたかどうかはわかりません。

SSH経由でログインしようとしましたが、パスワードが受け入れられません。ルートログインが無効になっているので、私は救助に行き、ルートログインをオンにして、ルートとしてログインすることができました。rootとして、影響を受けるアカウントのパスワードを、以前にログインしようとしたパスワードと同じパスワードで変更しようとしpasswdましたが、「パスワードは変更されていません」と応答しました。その後、パスワードを別のものに変更してログインできた後、パスワードを元のパスワードに戻し、再度ログインできました。

auth.logパスワードの変更を確認しましたが、有用なものが見つかりませんでした。

ウイルスとルートキットもスキャンしましたが、サーバーから次のように返されました。

ClamAV：

"/bin/busybox Unix.Trojan.Mirai-5607459-1 FOUND"

RKHunter：

"/usr/bin/lwp-request Warning: The command '/usr/bin/lwp-request' has been replaced by a script: /usr/bin/lwp-request: a /usr/bin/perl -w script, ASCII text executable

Warning: Suspicious file types found in /dev:"

私のサーバーはあまり知られていないことに注意してください。また、SSHポートを変更し、2段階認証を有効にしました。

私はハッキングされて、誰かが私をだまそうとしていると心配しています。

J Rockのように、これは誤検知だと思います。私も同じ経験をしました。

地理的に離れた6つの異なるサーバーから短期間でアラームを受け取りました。これらのサーバーのうち4台はプライベートネットワーク上にのみ存在していました。彼らが共通していたことの1つは、最近のdaily.cldの更新です。

そのため、このトロイの木馬の典型的なヒューリスティックのいくつかを成功せずにチェックした後、既知のクリーンなベースラインで浮浪者ボックスを起動し、freshclamを実行しました。これをつかんだ

「daily.cldは最新です（バージョン：22950、sig：1465879、fレベル：63、ビルダー：neo）」

その後clamav /bin/busybox、元のサーバーで同じ「/ bin / busybox Unix.Trojan.Mirai-5607459-1 FOUND」アラートが返されました。

最後に、良い対策のために、私はまた、Ubuntuの公式から放浪ボックスましたボックスをしても、「/ binに/ busyboxのUnix.Trojan.Mirai-5607459から1 FOUND」と同じだ（注、私はこの浮浪者ボックス上のメモリまでに持っていましたデフォルトの512MBから、またはclamscanが「killed」で失敗しました）

新鮮なUbuntu 14.04.5 vagrant boxからの完全な出力。

root@vagrant-ubuntu-trusty-64:~# freshclam
ClamAV update process started at Fri Jan 27 03:28:30 2017
main.cvd is up to date (version: 57, sigs: 4218790, f-level: 60, builder: amishhammer)
daily.cvd is up to date (version: 22950, sigs: 1465879, f-level: 63, builder: neo)
bytecode.cvd is up to date (version: 290, sigs: 55, f-level: 63, builder: neo)
root@vagrant-ubuntu-trusty-64:~# clamscan /bin/busybox
/bin/busybox: Unix.Trojan.Mirai-5607459-1 FOUND

----------- SCAN SUMMARY -----------
Known viruses: 5679215
Engine version: 0.99.2
Scanned directories: 0
Scanned files: 1
Infected files: 1
Data scanned: 1.84 MB
Data read: 1.83 MB (ratio 1.01:1)
Time: 7.556 sec (0 m 7 s)
root@vagrant-ubuntu-trusty-64:~#

したがって、これは誤検知である可能性が高いと考えています。

私はrkhunterのはなかった、と言うだろうではないので、多分PhysiOSクアンタムは、複数の問題を持っている、「は/ usr / binに/ LWP-要求警告」参照：私を与えます。

編集：これらのサーバーがすべてUbuntu 14.04であることを明示的に言ったことがないことに気づいただけです。他のバージョンは異なる場合がありますか？

Unix.Trojan.Mirai-5607459-1のClamAVシグネチャは間違いなく広すぎるため、J Rockとcayleafが指摘しているように、誤検知の可能性があります。

たとえば、次のすべてのプロパティを持つファイルは署名と一致します。

• ELFファイルです。
• 文字列「watchdog」が正確に2回含まれています。
• 文字列「/ proc / self」が少なくとも1回含まれています。
• 文字列「busybox」が少なくとも1回含まれています。

（署名全体はもう少し複雑ですが、上記の条件は一致に十分です。）

たとえば、次のようなファイルを作成できます。

$ echo 'main() {printf("watchdog watchdog /proc/self busybox");}' > innocent.c
$ gcc -o innocent innocent.c
$ clamscan --no-summary innocent
innocent: Unix.Trojan.Mirai-5607459-1 FOUND

（Linux上での）busyboxビルドは通常、上記の4つのプロパティと一致します。これは明らかにELFファイルであり、文字列「busybox」が何度も必ず含まれます。これは、「/ procの/セルフ/ exeファイル」を実行する特定のアプレットを実行します。最後に、「watchdog」は2回発生します。1回はアプレット名として、1回は文字列「/var/run/watchdog.pid」内にあります。

これは今日、/ bin / busyboxのClamAVスキャンでも表示されました。更新されたデータベースにエラーがあるかどうか疑問に思っています。

SSH経由でログインしようとしましたが、パスワードが受け入れられません。ルートログインが無効になっているので、私は救助に行き、ルートログインをオンにして、ルートとしてログインできました。rootとして、影響を受けたアカウントのパスワードを、以前にログインしようとしたパスワードと同じパスワードで変更しようとしましたが、passwdは「password変更なし」で応答しました。その後、パスワードを別のものに変更してログインできた後、パスワードを元のパスワードに戻し、再度ログインできました。

これは期限切れのパスワードのように聞こえます。rootがパスワードを（正常に）設定すると、パスワードの有効期限クロックがリセットされます。あなたは可能性確保（または同等のUbuntuのあるものは何でも）/の/ var /ログを確認し、パスワードが拒否された理由を見つけます。