No estoy seguro de si he sido pirateado o no.
Traté de iniciar sesión a través de SSH y no aceptó mi contraseña. El inicio de sesión raíz está deshabilitado, así que fui a rescatar y activé el inicio de sesión raíz y pude iniciar sesión como root. Como root, intenté cambiar la contraseña de la cuenta afectada con la misma contraseña con la que había intentado iniciar sesión antes, passwd
respondí con "contraseña sin cambios". Luego cambié la contraseña a otra y pude iniciar sesión, luego cambié la contraseña a la contraseña original y pude volver a iniciar sesión.
Revisé los auth.log
cambios de contraseña pero no encontré nada útil.
También escaneé en busca de virus y rootkits y el servidor devolvió esto:
ClamAV:
"/bin/busybox Unix.Trojan.Mirai-5607459-1 FOUND"
RKHunter:
"/usr/bin/lwp-request Warning: The command '/usr/bin/lwp-request' has been replaced by a script: /usr/bin/lwp-request: a /usr/bin/perl -w script, ASCII text executable
Warning: Suspicious file types found in /dev:"
Cabe señalar que mi servidor no es ampliamente conocido. También cambié el puerto SSH y habilité la verificación en dos pasos.
Me preocupa que me hayan pirateado y alguien esté tratando de engañarme, "todo está bien, no te preocupes por eso".
Respuestas:
Al igual que J Rock, creo que esto es un falso positivo. Tuve la misma experiencia.
Recibí una alarma de 6 servidores diferentes, dispares, separados geográficamente en un corto período de tiempo. 4 de estos servidores solo existían en una red privada. Lo único que tenían en común era una actualización reciente de daily.cld.
Entonces, después de verificar algunas de las heurísticas típicas de este troyano sin éxito, encendí una caja vagabunda con mi línea base limpia conocida y ejecuté freshclam. Esto agarró
Un posterior
clamav /bin/busybox
devolvió la misma alerta "/ bin / busybox Unix.Trojan.Mirai-5607459-1 FOUND" en los servidores originales.Por último, por si acaso, también hice una caja de vagabundo oficial de Ubuntu cuadro y también tengo el mismo "/ bin / busybox Unix.Trojan.Mirai-5607459-1 hallado" (Nota, que tuvo que la memoria en este cuadro de vagabundo desde su defecto 512MB o clamscan falló con 'matado')
Salida completa de la nueva caja vagabunda Ubuntu 14.04.5.
Entonces, también creo que es probable que esto sea un falso positivo.
Diré que rkhunter no me dio la referencia: "/ usr / bin / lwp-request Advertencia", por lo que quizás PhysiOS Quantum tenga más de un problema.
EDITAR: acabo de notar que nunca dije explícitamente que todos estos servidores son Ubuntu 14.04. Otras versiones pueden variar?
fuente
sha1sum
) el/bin/busybox
archivo de mi servidor con el mismo archivo en una VM local creada a partir de una imagen de Ubuntu y son idénticos. Así que también voto falso positivo.La firma ClamAV para Unix.Trojan.Mirai-5607459-1 es definitivamente demasiado amplia, por lo que es probable que sea un falso positivo, como lo señalan J Rock y cayleaf.
Por ejemplo, cualquier archivo que tenga todas las siguientes propiedades coincidirá con la firma:
(Toda la firma es un poco más complicada, pero las condiciones anteriores son suficientes para una coincidencia).
Por ejemplo, puede crear dicho archivo con:
Cualquier construcción busybox (en Linux) generalmente coincidirá con las cuatro propiedades que enumeré anteriormente. Obviamente es un archivo ELF y definitivamente contendrá la cadena "busybox" muchas veces. Se ejecuta "/ proc / self / exe" para ejecutar determinados applets. Finalmente, "watchdog" aparece dos veces: una como nombre de applet y otra dentro de la cadena "/var/run/watchdog.pid".
fuente
sigtool --unpack-current daily
para descomprimir daily.cvd (osigtool --unpack-current main
descomprimir main.cvd). Si selecciona los archivos resultantes para "Unix.Trojan.Mirai-5607459-1", debe encontrar la firma, que está en daily.ldb. El formato de la firma se explica en signatures.pdf (viene con el paquete clamav-docs en Ubuntu).Esto también apareció hoy para mí también en mi búsqueda de ClamAV para / bin / busybox. Me pregunto si la base de datos actualizada tiene un error.
fuente
Esto suena como una contraseña caducada. Establecer la contraseña (con éxito) por root restablece el reloj de caducidad de la contraseña. Usted podría comprobar / var / log / secure (o lo que es el equivalente de Ubuntu) y averiguar qué se rechazó su contraseña.
fuente