Ich hatte jemanden, der sich in meinen Linux-Rechner gehackt hatte und einen Perl-Code ausführte, der eine Art Bot zu sein scheint. Am nächsten Tag erhielt ich einen Anruf vom Internetdienstanbieter mit der Meldung, dass eine große Anzahl von Spam-Mails von Ihrer IP-Adresse ausgeht. Ich habe diesen Perl-Code in meinem Heimatverzeichnis gefunden.
Können Sie mir bitte helfen, herauszufinden, was dieser Code bewirkt und welche Schäden an meinem System auftreten können?
Danke Mike
Antworten:
(Ja, es beantwortet nicht, was er verlangt. Es beantwortet, was er wissen muss. )
Nuke es aus dem Orbit ... Es ist der einzige Weg, um sicher zu sein. Sie können einem kompromittierten System nicht wirklich vertrauen und Ihre Probleme sind mehr als der Perl-Bot.
Es passiert zwar, aber was Sie wissen, ist nur die Spitze des iceburg.
Also ... Sicherung. Jetzt sofort. Ich meine es so. In meinem Fall habe ich ein File-Level-Dump meines gesamten Dateisystems auf einer Windows-Box durchgeführt und einen AV-Scan darauf ausgeführt - der einen Virus gefunden hat. Das Imaging des Laufwerks würde mehr Spaß machen, aber das Imaging eines Remote-VPS schien zu diesem Zeitpunkt ein Rezept für Schmerzen zu sein.
Installieren Sie Ihr Betriebssystem neu. Ja, es ist schmerzhaft, aber Sie wissen nicht, was getan wurde.
Richten Sie den Fernzugriff richtig ein . Richten Sie die schlüsselbasierte Authentifizierung ein. Deaktivieren Sie den Root-Zugriff über ssh. Verwenden Sie einen nicht standardmäßigen Anschluss. Wenn Sie möchten, installieren Sie fail2ban und richten Sie es ein.
Lassen Sie uns nun über die Untersuchung sprechen . Abhängig von der von Ihnen verwendeten Linux-Variante können Sie wahrscheinlich die IP-Adressen ermitteln, von denen aus der Angreifer eine Verbindung hergestellt hat. Es ist völlig nutzlos, da der Angreifer ein anderes kompromittiertes System verwenden könnte, aber es ist wahrscheinlich praktisch, wenn Sie ihn vorübergehend an der Firewall blockieren möchten. Sie müssen die Einträge in /var/log/audit/audit.log in redhatealikes und /var/log/auth.log in Ubuntu-basierten Distributionen sortieren - grep könnte funktionieren, aber zu erklären, wie es geht, ist ein ganz anderes Buch .
Sie können dies auch verwenden, um herauszufinden, wann der Angreifer eingedrungen ist, und um zu überprüfen, welche Dateien dann geändert wurden - diese U & L-Frage scheint ein guter Anfang zu sein .
Die Tatsache, dass es sich um ein scheinbar kopiertes Skript handelt, deutet darauf hin, dass der Angreifer nicht besonders geschickt ist. Es ist gut, da der Schaden begrenzt ist, aber schlecht in dem Sinne, dass er möglicherweise nicht wirklich weiß, was alle seine Werkzeuge tun.
Es verbindet Sie mit einem in der $serverVariablen definierten IRC-Server , gibt Sie in den #ddosKanal ein und akzeptiert alle Befehle, die im @adminsArray definiert sind .
In der Tat ist das, was Ihr ISP sagt, mehr als wahrscheinlich, da es einen mailBefehl gibt, und Sie wurden wahrscheinlich zu einem Spammer, der von denjenigen kontrolliert wird, die Sie gehackt haben.
Es gibt viele andere Befehle, mit denen viele Dinge erledigt werden können, da Sie keine Protokolldatei darüber haben, was sie tatsächlich ausführen. Ich würde diese Maschine als nicht zuverlässig betrachten und sie neu installieren (ich würde jedoch untersuchen, wie Sie zuerst gehackt wurden) ), da sie sogar einen Befehl haben, um einen Shell-Befehl auszuführen .
Sie können zuerst die Netzwerkschnittstelle herunterfahren, um keinen Schaden zu verursachen. Dann können Sie lokal eintreten und herausfinden, was passiert ist.