অদ্ভুত এসএসএইচ, সার্ভার সুরক্ষা, আমি হ্যাক হয়ে থাকতে পারি

আমি নিশ্চিত হয়েছি যে আমাকে হ্যাক হয়েছে কিনা।

আমি এসএসএইচ দিয়ে লগ ইন করার চেষ্টা করেছি এবং এটি আমার পাসওয়ার্ড গ্রহণ করবে না। রুট লগইন অক্ষম করা হয়েছে তাই আমি উদ্ধার করতে গিয়ে রুট লগইন চালু করেছিলাম এবং রুট হিসাবে লগ ইন করতে সক্ষম হয়েছি। মূল হিসাবে, আমি একই পাসওয়ার্ড দিয়ে ক্ষতিগ্রস্থ অ্যাকাউন্টের পাসওয়ার্ডটি একই পাসওয়ার্ড দিয়ে পরিবর্তন করার চেষ্টা করেছি যার সাথে আগে আমি লগ ইন করার চেষ্টা করেছি, passwd"পাসওয়ার্ড অপরিবর্তিত" দিয়ে জবাব দিয়েছি । আমি তখন পাসওয়ার্ডটি অন্য কোনওটিতে পরিবর্তন করে লগ ইন করতে সক্ষম হয়ে আবার পাসওয়ার্ডটি মূল পাসওয়ার্ডে পরিবর্তন করেছি এবং আমি আবার লগ ইন করতে সক্ষম হয়েছি।

আমি auth.logপাসওয়ার্ড পরিবর্তনগুলির জন্য চেক করেছিলাম তবে দরকারী কিছু পাইনি।

আমি ভাইরাস এবং রুটকিটগুলির জন্যও স্ক্যান করেছি এবং সার্ভারটি এটি ফিরিয়ে দিয়েছে:

ClamAV:

"/bin/busybox Unix.Trojan.Mirai-5607459-1 FOUND"

RKHunter:

"/usr/bin/lwp-request Warning: The command '/usr/bin/lwp-request' has been replaced by a script: /usr/bin/lwp-request: a /usr/bin/perl -w script, ASCII text executable

Warning: Suspicious file types found in /dev:"

এটি লক্ষ্য করা উচিত যে আমার সার্ভারটি বহুল পরিচিত নয়। আমি এসএসএইচ পোর্টও পরিবর্তন করেছি এবং ২-পদক্ষেপ যাচাইকরণ সক্ষম করেছি।

আমি চিন্তিত হয়েছি আমি হ্যাক হয়ে গিয়েছি এবং কেউ আমাকে বোকা বানানোর চেষ্টা করছে, "সবকিছু ঠিক আছে এ সম্পর্কে চিন্তা করবেন না"।

জে রকের মতো, আমিও এটি একটি মিথ্যা ইতিবাচক বলে মনে করি। আমারও একই অভিজ্ঞতা ছিল।

আমি স্বল্প সময়ের মধ্যে different টি পৃথক, পৃথক, ভৌগলিকভাবে পৃথক সার্ভারের কাছ থেকে একটি অ্যালার্ম পেয়েছি। এর মধ্যে 4 টি সার্ভার কেবলমাত্র একটি ব্যক্তিগত নেটওয়ার্কে বিদ্যমান ছিল। তাদের মধ্যে একটি জিনিস সাধারণ ছিল সাম্প্রতিক একটি দৈনিক সিএল আপডেট।

সুতরাং, সাফল্য ছাড়াই এই ট্রোজেনের কিছু সাধারণ হিউরিস্টিকস পরীক্ষা করার পরে, আমি আমার পরিচিত ক্লিন বেসলাইন সহ একটি ভিজাগর বক্সটি বুট করেছি এবং ফ্রেশক্ল্যাম চালিয়েছি। এই ধরল

"দৈনিক.সিএলডি আপ টু ডেট (সংস্করণ: 22950, ​​সিগস: 1465879, এফ-লেভেল: 63, বিল্ডার: নিও)"

পরবর্তীকালে clamav /bin/busyboxমূল সার্ভারগুলিতে একই "/ বিন / ব্যস্তবক্স ইউনিক্স T ট্রোজান.মিরাই -5607459-1 ফাউন্ড" সতর্কতা ফিরেছে।

অবশেষে, ভাল পরিমাপ জন্য, আমিও উবুন্টু এর অফিসিয়াল থেকে একটি ভবঘুরে বক্স করেনি বক্স এবং একই "/ বিন /, busybox Unix.Trojan.Mirai-5607459-1 পাওয়া যায়নি" পেয়েছিলাম (নোট, আমি এই ভবঘুরে বাক্সে স্মৃতি পর্যন্ত ছিল এর ডিফল্ট 512 এমবি থেকে বা ক্ল্যামস্ক্যান 'হত্যা' দিয়ে ব্যর্থ হয়েছে)

তাজা উবুন্টু থেকে সম্পূর্ণ আউটপুট 14.04.5 ভ্যাগ্র্যান্ট বাক্স।

root@vagrant-ubuntu-trusty-64:~# freshclam
ClamAV update process started at Fri Jan 27 03:28:30 2017
main.cvd is up to date (version: 57, sigs: 4218790, f-level: 60, builder: amishhammer)
daily.cvd is up to date (version: 22950, sigs: 1465879, f-level: 63, builder: neo)
bytecode.cvd is up to date (version: 290, sigs: 55, f-level: 63, builder: neo)
root@vagrant-ubuntu-trusty-64:~# clamscan /bin/busybox
/bin/busybox: Unix.Trojan.Mirai-5607459-1 FOUND

----------- SCAN SUMMARY -----------
Known viruses: 5679215
Engine version: 0.99.2
Scanned directories: 0
Scanned files: 1
Infected files: 1
Data scanned: 1.84 MB
Data read: 1.83 MB (ratio 1.01:1)
Time: 7.556 sec (0 m 7 s)
root@vagrant-ubuntu-trusty-64:~#

সুতরাং, আমিও বিশ্বাস করি এটি সম্ভবত একটি মিথ্যা ইতিবাচক হতে পারে।

আমি বলব, rkhunter হয়নি না আমাকে দিতে: "/ usr / bin / lwp-অনুরোধ সতর্কতা" রেফারেন্স, তাই হয়তো ফিজিও কোয়ান্টাম একটির বেশি সমস্যা হচ্ছে করা হয়।

সম্পাদনা: সবেমাত্র লক্ষ্য করা গেছে যে আমি কখনই স্পষ্টভাবে বলতে পারি নি যে এই সমস্ত সার্ভারগুলি উবুন্টু 14.04। অন্যান্য সংস্করণ বিভিন্ন হতে পারে?

ইউনিক্স.ট্রাজান.মিরাই -5607459-1 এর জন্য ক্ল্যামাভি স্বাক্ষরটি অবশ্যই খুব বিস্তৃত, সুতরাং এটি সম্ভবত একটি মিথ্যা ইতিবাচক, যেমন জে রক এবং কেলেফ দ্বারা উল্লিখিত হয়েছে।

উদাহরণস্বরূপ, নীচের সমস্ত বৈশিষ্ট্যযুক্ত যে কোনও ফাইল স্বাক্ষরের সাথে মিলবে:

• এটি একটি ইএলএফ ফাইল;
• এটিতে ঠিক দু'বার "ওয়াচডগ" স্ট্রিং রয়েছে;
• এতে অন্তত একবার "/ proc / স্ব" স্ট্রিং থাকে;
• এটিতে অন্তত একবার "ব্যস্তবক্স" স্ট্রিং রয়েছে।

(পুরো স্বাক্ষরটি আরও জটিল, তবে উপরের শর্তগুলি একটি ম্যাচের জন্য যথেষ্ট are)

উদাহরণস্বরূপ, আপনি এই জাতীয় ফাইল তৈরি করতে পারেন:

$ echo 'main() {printf("watchdog watchdog /proc/self busybox");}' > innocent.c
$ gcc -o innocent innocent.c
$ clamscan --no-summary innocent
innocent: Unix.Trojan.Mirai-5607459-1 FOUND

যে কোনও ব্যস্তবক্স বিল্ড (লিনাক্সে) সাধারণত উপরে উল্লিখিত চারটি বৈশিষ্ট্যের সাথে মেলে। এটি অবশ্যই একটি ELF ফাইল এবং এটি অবশ্যই "ব্যস্তবক্স" স্ট্রিংটি অনেক সময় ধারণ করবে। এটি নির্দিষ্ট অ্যাপলেট চালানোর জন্য "/ proc / self / exe" চালায়। অবশেষে, "ওয়াচডগ" দু'বার ঘটে: একবার অ্যাপলেট নাম হিসাবে এবং একবার "/var/run/watchdog.pid" স্ট্রিংয়ের ভিতরে।

এটি কেবল আজ আমার জন্য পাশাপাশি / বিন / ব্যস্তবক্সের জন্য আমার ক্ল্যামাভি স্ক্যানে প্রদর্শিত হয়েছিল। আমি ভাবছি আপডেট হওয়া ডাটাবেসে কোনও ত্রুটি আছে কিনা।

আমি এসএসএইচ দিয়ে লগ ইন করার চেষ্টা করেছি এবং এটি আমার পাসওয়ার্ড গ্রহণ করবে না। রুট লগইন অক্ষম করা হয়েছে তাই আমি উদ্ধার করতে গিয়ে রুট লগইন চালু করেছিলাম এবং রুট হিসাবে লগ ইন করতে সক্ষম হয়েছি। রুট হিসাবে, আমি একই পাসওয়ার্ড দিয়ে এর আগে লগ ইন করার চেষ্টা করেছি এমন একই পাসওয়ার্ড দিয়ে প্রভাবিত অ্যাকাউন্টটির পাসওয়ার্ড পরিবর্তন করার চেষ্টা করেছি, পাসডাব্লু "পাসওয়ার্ড অপরিবর্তিত" দিয়ে উত্তর দিয়েছিল। আমি তখন পাসওয়ার্ডটি অন্য কোনওটিতে পরিবর্তন করে লগ ইন করতে সক্ষম হয়ে আবার পাসওয়ার্ডটি মূল পাসওয়ার্ডে পরিবর্তন করেছি এবং আমি আবার লগ ইন করতে সক্ষম হয়েছি।

এটি মেয়াদোত্তীর্ণ পাসওয়ার্ডের মতো শোনাচ্ছে। রুট দিয়ে পাসওয়ার্ড সেট করা (সফলভাবে) পাসওয়ার্ডের মেয়াদ শেষ হওয়ার ঘড়ির পুনরায় সেট করে। আপনি পারে পরীক্ষা প্রথমেই / var / log /? সুরক্ষিত (বা যাই হোক না কেন উবুন্টু সমতূল্য) এবং জানতে কেন আপনার পাসওয়ার্ড প্রত্যাখ্যাত হয়েছে।