SSH bizarre, sécurité du serveur, j'ai peut-être été piraté

30

Je ne sais pas si j'ai été piraté ou non.

J'ai essayé de me connecter via SSH et il n'a pas accepté mon mot de passe. La connexion root est désactivée, je suis donc allé à la rescousse et j'ai activé la connexion root et j'ai pu me connecter en tant que root. En tant que root, j'ai essayé de changer le mot de passe du compte affecté avec le même mot de passe avec lequel j'avais essayé de me connecter auparavant, j'ai passwdrépondu "mot de passe inchangé". J'ai ensuite changé le mot de passe pour quelque chose d'autre et j'ai pu me connecter, puis j'ai changé le mot de passe pour le mot de passe d'origine et j'ai de nouveau pu me connecter.

J'ai vérifié les auth.logchangements de mot de passe mais je n'ai rien trouvé d'utile.

J'ai également analysé les virus et les rootkits et le serveur a renvoyé ceci:

ClamAV:

"/bin/busybox Unix.Trojan.Mirai-5607459-1 FOUND"

RKHunter:

"/usr/bin/lwp-request Warning: The command '/usr/bin/lwp-request' has been replaced by a script: /usr/bin/lwp-request: a /usr/bin/perl -w script, ASCII text executable

Warning: Suspicious file types found in /dev:"

Il convient de noter que mon serveur n'est pas largement connu. J'ai également changé le port SSH et activé la vérification en 2 étapes.

Je suis inquiet d'avoir été piraté et quelqu'un essaie de me tromper, "tout va bien ne t'en fais pas".

PhysiOS
la source
10
D'accord avec Michael. On dirait que Mirai utilise la supposition de mot de passe par force brute pour compromettre les hôtes Linux - incapsula.com/blog/malware-analysis-mirai-ddos-botnet.html . L'utilisation de l'authentification par clé publique serait préférable à la modification du port SSH à des fins de sécurité à mon humble avis.
Josh Morel
3
@JoshMorel J'irais plus loin et dirais que changer le port SSH nuit à la sécurité. Cela n'aide en rien à protéger, mais les personnes qui le font à tort se sentent plus en sécurité. Ainsi, en se sentant plus en sécurité sans être réellement plus en sécurité, leur situation est pire qu'avant. De plus, je dirais que l'authentification pubkey n'est pas simplement meilleure, mais indispensable.
marcelm
10
"... il n'accepterait pas mon mot de passe ... il a répondu" mot de passe inchangé "... après avoir changé le mot de passe en quelque chose d'autre, j'ai pu me connecter, j'ai changé le mot de passe pour ce qu'il était et j'ai toujours pu ouvrir une session." - Tout cela pourrait s'expliquer par la création de fautes de frappe dans votre mot de passe (ou le verrouillage des majuscules) avant de vous rendre chez le secouriste.
marcelm
2
la détection de trojan de boîte occupée par clamav m'est également arrivée ce matin pour la première fois sur ~ 100 systèmes; Je vote faux positif. Je suppose que clamav a mis à jour sa base de données sig pour que ce faux départ positif apparaisse la nuit dernière
JDS
2
Soit dit en passant, le hashs sha256 de mon busybox sur ces systèmes est 7fa3a176871de12832ca8a78b646bc6be92f7f528ee81d1c35bf12aa99292b1c. Ce sont des systèmes ubuntu 14.04, et le mtime sur la corbeille occupée est 2013-11-14
JDS

Réponses:

30

Comme J Rock, je pense que c'est un faux positif. J'ai vécu la même expérience.

J'ai reçu une alarme de 6 serveurs différents, disparates et géographiquement séparés dans un court laps de temps. 4 de ces serveurs n'existaient que sur un réseau privé. La seule chose qu'ils avaient en commun était une récente mise à jour daily.cld.

Donc, après avoir vérifié sans succès certaines des heuristiques typiques de ce cheval de Troie, j'ai démarré une boîte vagabonde avec ma ligne de base propre connue et j'ai exécuté freshclam. Cette saisie

"daily.cld est à jour (version: 22950, ​​sigs: 1465879, niveau f: 63, constructeur: neo)"

Une suivante a clamav /bin/busyboxrenvoyé la même alerte «/ bin / busybox Unix.Trojan.Mirai-5607459-1 FOUND» sur les serveurs d'origine.

Enfin, pour faire bonne mesure, j'ai également fait une boîte vagabonde dans la boîte officielle d'Ubuntu et j'ai également obtenu le même "/ bin / busybox Unix.Trojan.Mirai-5607459-1 FOUND" (Remarque, j'ai dû augmenter la mémoire sur cette boîte vagabonde de son 512 Mo par défaut ou clamscan a échoué avec «tué»)

Sortie complète de la nouvelle boîte vagabonde Ubuntu 14.04.5.

root@vagrant-ubuntu-trusty-64:~# freshclam
ClamAV update process started at Fri Jan 27 03:28:30 2017
main.cvd is up to date (version: 57, sigs: 4218790, f-level: 60, builder: amishhammer)
daily.cvd is up to date (version: 22950, sigs: 1465879, f-level: 63, builder: neo)
bytecode.cvd is up to date (version: 290, sigs: 55, f-level: 63, builder: neo)
root@vagrant-ubuntu-trusty-64:~# clamscan /bin/busybox
/bin/busybox: Unix.Trojan.Mirai-5607459-1 FOUND

----------- SCAN SUMMARY -----------
Known viruses: 5679215
Engine version: 0.99.2
Scanned directories: 0
Scanned files: 1
Infected files: 1
Data scanned: 1.84 MB
Data read: 1.83 MB (ratio 1.01:1)
Time: 7.556 sec (0 m 7 s)
root@vagrant-ubuntu-trusty-64:~#

Donc, je pense aussi que ce sera probablement un faux positif.

Je dirai que rkhunter ne m'a pas donné la référence: "/ usr / bin / lwp-request Warning", donc peut-être que PhysiOS Quantum a plus d'un problème.

EDIT: je viens de remarquer que je n'ai jamais dit explicitement que tous ces serveurs sont Ubuntu 14.04. D'autres versions peuvent varier?

cayleaf
la source
1
Je vais changer mon authentification SSH pour une clé publique et j'essaierai de surveiller les connexions réseau, mais honnêtement, c'est vraiment bizarre parce que je copie et colle même le mot de passe et il l'a toujours rejeté. Que dois-je faire avec la demande / usr / bin / lwp?
PhysiOS
1
J'ai également reçu cette notification ce matin sur un serveur Ubuntu 14.04. J'ai comparé ( sha1sum) le /bin/busyboxfichier de mon serveur au même fichier sur une machine virtuelle locale créée à partir d'une image Ubuntu et ils sont identiques. Je vote donc aussi pour les faux positifs.
agregoire
3
@PhysiOSQuantum Rien. C'est aussi un faux positif - lwp-request est un outil lié à un module Perl ( metacpan.org/pod/LWP ), il est donc tout à fait normal qu'il s'agisse d'un script.
duskwuff
45

La signature ClamAV pour Unix.Trojan.Mirai-5607459-1 est définitivement trop large, donc c'est probablement un faux positif, comme l'ont noté J Rock et cayleaf.

Par exemple, tout fichier possédant toutes les propriétés suivantes correspondra à la signature:

  • c'est un fichier ELF;
  • il contient la chaîne "watchdog" exactement deux fois;
  • il contient au moins une fois la chaîne "/ proc / self";
  • il contient au moins une fois la chaîne "busybox".

(La signature entière est un peu plus compliquée, mais les conditions ci-dessus sont suffisantes pour un match.)

Par exemple, vous pouvez créer un tel fichier avec:

$ echo 'main() {printf("watchdog watchdog /proc/self busybox");}' > innocent.c
$ gcc -o innocent innocent.c
$ clamscan --no-summary innocent
innocent: Unix.Trojan.Mirai-5607459-1 FOUND

Toute construction de busybox (sous Linux) correspondra généralement aux quatre propriétés que j'ai énumérées ci-dessus. C'est évidemment un fichier ELF et il contiendra certainement la chaîne "busybox" plusieurs fois. Il exécute "/ proc / self / exe" pour exécuter certaines applets. Enfin, "watchdog" apparaît deux fois: une fois comme nom d'applet et une fois dans la chaîne "/var/run/watchdog.pid".

nomadictype
la source
20
Où puis-je lire cette signature, et d'autres de ClamAV, par curiosité?
Délisson Junio
2
Je savais que quelqu'un de plus intelligent que moi serait en mesure d'expliquer pourquoi c'était un faux positif. Merci!
cayleaf
3
@ Délisson Junio: Créez un répertoire vide, cd dedans et lancez sigtool --unpack-current dailypour décompresser daily.cvd (ou sigtool --unpack-current maindécompresser main.cvd). Si vous grep les fichiers résultants pour "Unix.Trojan.Mirai-5607459-1", vous devriez trouver la signature, qui se trouve être dans daily.ldb. Le format de signature est expliqué dans signatures.pdf (livré avec le paquet clamav-docs dans Ubuntu).
nomadictype
6

Cela s'est également révélé aujourd'hui pour moi dans mon analyse ClamAV pour / bin / busybox. Je me demande si la base de données mise à jour contient une erreur.

J Rock
la source
2
Scan / bin / busybox sur n'importe quel Ubuntu 14.04 LTS avec la dernière base de données ClamAV. Il revient infecté. C'est un faux positif, OMI.
J Rock
2
J'ai soumis un rapport faussement positif à ClamAV. J'ai également constaté que les fichiers binaires du lecteur vmware apparaissent comme infectés par le même cheval de Troie. Il est probable qu'ils aient inclus le code de la boîte occupée.
J Rock
4

J'ai essayé de me connecter via SSH et il n'a pas accepté mon mot de passe. La connexion root est désactivée, je suis donc allé à la rescousse et j'ai activé la connexion root et j'ai pu me connecter en tant que root. En tant que root, j'ai essayé de changer le mot de passe du compte affecté avec le même mot de passe avec lequel j'avais essayé de me connecter auparavant, passwd a répondu avec "mot de passe inchangé". J'ai ensuite changé le mot de passe pour quelque chose d'autre et j'ai pu me connecter, puis j'ai changé le mot de passe pour le mot de passe d'origine et j'ai de nouveau pu me connecter.

Cela ressemble à un mot de passe expiré. La définition du mot de passe (avec succès) par root réinitialise l'horloge d'expiration du mot de passe. Vous pouvez vérifier / var / log / secure (ou quel que soit l'équivalent d'Ubuntu) et découvrir pourquoi votre mot de passe a été rejeté.

Xalorous
la source