Phy*_*iOS 31 security linux ssh hacking
我不确定我是否被黑客入侵。
我尝试通过 SSH 登录,但它不接受我的密码。Root 登录被禁用,所以我去救援并打开了 root 登录,并且能够以 root 身份登录。作为 root,我尝试使用与我之前尝试登录相同的密码更改受影响帐户的密码,并passwd回复“密码不变”。然后我将密码更改为其他密码并能够登录,然后将密码更改回原始密码,我再次能够登录。
我检查auth.log了密码更改,但没有发现任何有用的东西。
我还扫描了病毒和 rootkit,服务器返回了这个:
蛤AV:
"/bin/busybox Unix.Trojan.Mirai-5607459-1 FOUND"
RK猎人:
"/usr/bin/lwp-request Warning: The command '/usr/bin/lwp-request' has been replaced by a script: /usr/bin/lwp-request: a /usr/bin/perl -w script, ASCII text executable
Warning: Suspicious file types found in /dev:"
应该注意的是,我的服务器并不广为人知。我还更改了 SSH 端口并启用了两步验证。
我担心我被黑了,有人试图欺骗我,“一切都很好,别担心”。
nom*_*ype 45
正如 J Rock 和 cayleaf 所指出的,Unix.Trojan.Mirai-5607459-1 的 ClamAV 签名绝对是太宽泛了,所以它可能是一个误报。
例如,具有以下所有属性的任何文件都将匹配签名:
(整个签名有点复杂,但以上条件足以匹配。)
例如,您可以使用以下命令创建这样的文件:
$ echo 'main() {printf("watchdog watchdog /proc/self busybox");}' > innocent.c
$ gcc -o innocent innocent.c
$ clamscan --no-summary innocent
innocent: Unix.Trojan.Mirai-5607459-1 FOUND
任何busybox 构建(在Linux 上)通常都会匹配我上面列出的四个属性。它显然是一个 ELF 文件,它肯定会多次包含字符串“busybox”。它执行“/proc/self/exe”来运行某些小程序。最后,“watchdog”出现两次:一次作为小程序名称,一次在字符串“/var/run/watchdog.pid”中。
cay*_*eaf 32
像 J Rock 一样,我认为这是一个误报。我有同样的经历。
我在很短的时间内收到了来自 6 个不同的、不同的、地理上分开的服务器的警报。其中 4 个服务器仅存在于专用网络上。他们的一个共同点是最近的 Daily.cld 更新。
因此,在检查了该木马的一些典型启发式方法但没有成功之后,我使用我已知的干净基线启动了一个 vagrant box 并运行了 freshclam。这个抢了
“daily.cld 是最新的(版本:22950,sigs:1465879,f-level:63,builder:neo)”
随后clamav /bin/busybox在原始服务器上返回了相同的“/bin/busybox Unix.Trojan.Mirai-5607459-1 FOUND”警报。
最后,为了更好的衡量,我还做了一个来自 Ubuntu 官方盒子的流浪盒子,也得到了相同的“/bin/busybox Unix.Trojan.Mirai-5607459-1 FOUND”(注意,我不得不在这个流浪盒子上增加内存从其默认的 512MB 或 clamscan 失败并“杀死”)
来自全新 Ubuntu 14.04.5 vagrant box 的完整输出。
root@vagrant-ubuntu-trusty-64:~# freshclam
ClamAV update process started at Fri Jan 27 03:28:30 2017
main.cvd is up to date (version: 57, sigs: 4218790, f-level: 60, builder: amishhammer)
daily.cvd is up to date (version: 22950, sigs: 1465879, f-level: 63, builder: neo)
bytecode.cvd is up to date (version: 290, sigs: 55, f-level: 63, builder: neo)
root@vagrant-ubuntu-trusty-64:~# clamscan /bin/busybox
/bin/busybox: Unix.Trojan.Mirai-5607459-1 FOUND
----------- SCAN SUMMARY -----------
Known viruses: 5679215
Engine version: 0.99.2
Scanned directories: 0
Scanned files: 1
Infected files: 1
Data scanned: 1.84 MB
Data read: 1.83 MB (ratio 1.01:1)
Time: 7.556 sec (0 m 7 s)
root@vagrant-ubuntu-trusty-64:~#
所以,我也相信这很可能是误报。
我会说,rkhunter并没有给我:“在/ usr / bin中/ LWP请求警告”的提法,所以也许理疗师昆腾有一个以上的问题。
编辑:只是注意到我从未明确说过所有这些服务器都是 Ubuntu 14.04。其他版本可能会有所不同?
今天刚刚在我对 /bin/busybox 的 ClamAV 扫描中也出现了这种情况。我想知道更新的数据库是否有错误。