Странный SSH, Безопасность сервера, возможно, меня взломали

Я не уверен, был ли я взломан или нет.

Я попытался войти через SSH, и он не принял мой пароль. Root-вход отключен, поэтому я пошел на помощь и включил root-доступ и смог войти в систему как root. Как пользователь root, я попытался изменить пароль затронутой учетной записи с тем же паролем, с которым я пытался войти ранее, и passwdответил «пароль не изменился». Затем я изменил пароль на что-то другое и смог войти в систему, затем изменил пароль обратно на первоначальный пароль, и я снова смог войти.

Я проверил auth.logизменения пароля, но не нашел ничего полезного.

Я также проверил на наличие вирусов и руткитов, и сервер вернул это:

ClamAV:

"/bin/busybox Unix.Trojan.Mirai-5607459-1 FOUND"

RkHunter:

"/usr/bin/lwp-request Warning: The command '/usr/bin/lwp-request' has been replaced by a script: /usr/bin/lwp-request: a /usr/bin/perl -w script, ASCII text executable

Warning: Suspicious file types found in /dev:"

Следует отметить, что мой сервер не широко известен. Я также изменил порт SSH и включил двухэтапную проверку.

Я обеспокоен тем, что меня взломали, и кто-то пытается обмануть меня: «все хорошо, не беспокойся об этом».

Как и J Rock, я думаю, что это ложный позитив. У меня был такой же опыт.

Я получил сигнал тревоги от 6 разных, разрозненных, географически разделенных серверов за короткий промежуток времени. 4 из этих серверов существовали только в частной сети. Единственное, что у них было общего, - это недавнее обновление daily.cld.

Итак, после проверки некоторых типичных эвристик этого троянца, я безуспешно загрузил бродячую коробку с моим известным чистым базовым уровнем и запустил freshclam. Это схватил

"daily.cld обновлен (версия: 22950, ​​sigs: 1465879, f-уровень: 63, строитель: neo)"

Последующее clamav /bin/busyboxвозвратило то же самое предупреждение "/ bin / busybox Unix.Trojan.Mirai-5607459-1 FOUND" на исходных серверах.

Наконец, для хорошей цели я также сделал бродячую коробку из официального ящика Ubuntu и также получил такой же "/ bin / busybox Unix.Trojan.Mirai-5607459-1 НАЙДЕННЫЙ" (обратите внимание, мне пришлось увеличить объем памяти на этом бродяжничном ящике по умолчанию 512MB или clamscan потерпел неудачу с 'kill')

Полный выход из свежей Ubuntu 14.04.5 vagrant box.

root@vagrant-ubuntu-trusty-64:~# freshclam
ClamAV update process started at Fri Jan 27 03:28:30 2017
main.cvd is up to date (version: 57, sigs: 4218790, f-level: 60, builder: amishhammer)
daily.cvd is up to date (version: 22950, sigs: 1465879, f-level: 63, builder: neo)
bytecode.cvd is up to date (version: 290, sigs: 55, f-level: 63, builder: neo)
root@vagrant-ubuntu-trusty-64:~# clamscan /bin/busybox
/bin/busybox: Unix.Trojan.Mirai-5607459-1 FOUND

----------- SCAN SUMMARY -----------
Known viruses: 5679215
Engine version: 0.99.2
Scanned directories: 0
Scanned files: 1
Infected files: 1
Data scanned: 1.84 MB
Data read: 1.83 MB (ratio 1.01:1)
Time: 7.556 sec (0 m 7 s)
root@vagrant-ubuntu-trusty-64:~#

Поэтому я также считаю, что это может быть ложным срабатыванием.

Я скажу, что rkhunter не дал мне ссылку : «/ usr / bin / lwp-request Warning», так что, возможно, у PhysiOS Quantum есть несколько проблем.

РЕДАКТИРОВАТЬ: только заметил, что я никогда не говорил явно, что все эти серверы являются Ubuntu 14.04. Другие версии могут отличаться?

Подпись ClamAV для Unix.Trojan.Mirai-5607459-1 определенно слишком широка, поэтому, скорее всего, это ложный положительный результат, как отметили J Rock и Cayleaf.

Например, любой файл, который имеет все следующие свойства, будет соответствовать подписи:

• это файл ELF;
• он содержит строку «сторожевой таймер» ровно дважды;
• содержит хотя бы один раз строку "/ proc / self";
• он содержит строку «busybox» хотя бы один раз.

(Вся подпись немного сложнее, но вышеуказанных условий достаточно для соответствия.)

Например, вы можете создать такой файл с помощью:

$ echo 'main() {printf("watchdog watchdog /proc/self busybox");}' > innocent.c
$ gcc -o innocent innocent.c
$ clamscan --no-summary innocent
innocent: Unix.Trojan.Mirai-5607459-1 FOUND

Любая сборка busybox (в Linux) обычно соответствует четырем свойствам, перечисленным выше. Это, очевидно, файл ELF, и он определенно будет содержать строку «busybox» много раз. Он выполняет "/ proc / self / exe" для запуска определенных апплетов. Наконец, «watchdog» встречается дважды: один раз как имя апплета и один раз внутри строки «/var/run/watchdog.pid».

Это только что появилось сегодня для меня в моем ClamAV-сканировании для / bin / busybox. Мне интересно, есть ли ошибка в обновленной базе данных.

Я попытался войти через SSH, и он не принял мой пароль. Root-вход отключен, поэтому я пошел на помощь и включил root-доступ и смог войти в систему как root. Как пользователь root, я попытался изменить пароль уязвимой учетной записи с тем же паролем, с которым я пытался войти ранее, passwd ответил «пароль не изменился». Затем я изменил пароль на что-то другое и смог войти в систему, затем изменил пароль обратно на первоначальный пароль, и я снова смог войти.

Это похоже на просроченный пароль. Установка пароля (успешно) пользователем root сбрасывает часы истечения срока действия пароля. Вы можете проверить / var / log / secure (или любой другой эквивалент Ubuntu) и выяснить, почему ваш пароль был отклонен.