奇怪的SSH，服务器安全性，我可能已经被黑了

我不确定是否被黑客入侵。

我试图通过SSH登录，但它不接受我的密码。根登录已禁用，因此我进行了抢救并打开了根登录，并能够以根身份登录。以root用户身份，我尝试使用与以前登录时相同的密码更改受影响帐户的密码，并passwd回答“密码不变”。然后，我将密码更改为其他密码并能够登录，然后将密码更改回原始密码，然后我再次能够登录。

我检查auth.log了密码更改，但没有发现任何有用的信息。

我还扫描了病毒和rootkit，服务器返回了以下内容：

ClamAV：

"/bin/busybox Unix.Trojan.Mirai-5607459-1 FOUND"

RKHunter：

"/usr/bin/lwp-request Warning: The command '/usr/bin/lwp-request' has been replaced by a script: /usr/bin/lwp-request: a /usr/bin/perl -w script, ASCII text executable

Warning: Suspicious file types found in /dev:"

应当指出，我的服务器并不广为人知。我还更改了SSH端口并启用了两步验证。

我很担心自己被黑了，有人试图欺骗我，“一切都很好，不用担心”。

像J Rock一样，我认为这是错误的肯定。我也有同样的经历。

我在短时间内从6个不同的，地理位置分散的服务器收到了警报。这些服务器中只有4个存在于专用网络上。他们有一个共同点是最近的daily.cld更新。

因此，在检查了该木马的一些典型启发式方法但没有成功后，我启动了一个带有我所知的干净基准的无所事事的盒子，然后运行了FreshClam。这抓

“ daily.cld是最新的（版本：22950，信号提示：1465879，f级：63，生成器：neo）”

后续clamav /bin/busybox服务器在原始服务器上返回了相同的“ / bin / busybox Unix.Trojan.Mirai-5607459-1 FOUND”警报。

最后，作为很好的措施，我还从Ubuntu的官方包装盒中取出了一个无用的包装盒，并且得到了相同的“ / bin / busybox Unix.Trojan.Mirai-5607459-1 FOUND”（注意，我必须在这个无用包装盒上增加内存从其默认的512MB或clamscan失败，并显示“ killed”）

新鲜的Ubuntu 14.04.5流浪汉盒的完整输出。

root@vagrant-ubuntu-trusty-64:~# freshclam
ClamAV update process started at Fri Jan 27 03:28:30 2017
main.cvd is up to date (version: 57, sigs: 4218790, f-level: 60, builder: amishhammer)
daily.cvd is up to date (version: 22950, sigs: 1465879, f-level: 63, builder: neo)
bytecode.cvd is up to date (version: 290, sigs: 55, f-level: 63, builder: neo)
root@vagrant-ubuntu-trusty-64:~# clamscan /bin/busybox
/bin/busybox: Unix.Trojan.Mirai-5607459-1 FOUND

----------- SCAN SUMMARY -----------
Known viruses: 5679215
Engine version: 0.99.2
Scanned directories: 0
Scanned files: 1
Infected files: 1
Data scanned: 1.84 MB
Data read: 1.83 MB (ratio 1.01:1)
Time: 7.556 sec (0 m 7 s)
root@vagrant-ubuntu-trusty-64:~#

因此，我也相信这很可能是假阳性。

我会说，rkhunter并没有给我：“在/ usr / bin中/ LWP请求警告”的提法，所以也许理疗师昆腾有一个以上的问题。

编辑：只是注意到我从来没有明确地说过所有这些服务器都是Ubuntu 14.04。其他版本可能会有所不同？

J Rock和cayleaf指出，Unix.Trojan.Mirai-5607459-1的ClamAV签名肯定太宽泛，因此可能是假阳性。

例如，任何具有以下所有属性的文件将与签名匹配：

• 这是一个ELF文件；
• 它包含字符串“ watchdog”正好两次；
• 它至少包含一次字符串“ / proc / self”；
• 它至少包含一次字符串“ busybox”。

（整个签名稍微复杂一点，但是上述条件足以匹配。）

例如，您可以使用以下方法创建这样的文件：

$ echo 'main() {printf("watchdog watchdog /proc/self busybox");}' > innocent.c
$ gcc -o innocent innocent.c
$ clamscan --no-summary innocent
innocent: Unix.Trojan.Mirai-5607459-1 FOUND

（在Linux上）任何busybox构建通常都会与我上面列出的四个属性匹配。显然，这是一个ELF文件，并且肯定会多次包含字符串“ busybox”。它执行“ / proc / self / exe”来运行某些小程序。最后，“看门狗”出现两次：一次作为applet名称，一次在字符串“ /var/run/watchdog.pid”中。

今天，在我对/ bin / busybox的ClamAV扫描中也对我显示了这一点。我想知道更新的数据库是否有错误。

我试图通过SSH登录，但它不接受我的密码。根登录已禁用，因此我进行了抢救并打开了根登录，并能够以根身份登录。作为root用户，我尝试使用与以前登录时所用的密码相同的方式更改受影响帐户的密码，passwd回答“密码不变”。然后，我将密码更改为其他密码并能够登录，然后将密码更改回原始密码，然后我再次能够登录。

这听起来像是过期的密码。以root身份成功设置密码会重置密码过期时钟。您可以检查/ var / log / secure（或与Ubuntu等效的任何东西），并找出拒绝密码的原因。