我不确定我是否被黑客入侵。
我试图通过SSHlogin,它不会接受我的密码。 根login被禁用,所以我去抢救和转换根login,并能够以root身份login。 以root用户身份,我尝试使用与之前尝试login的密码相同的密码更改受影响的帐户的密码, passwd回答“密码不变”。 然后,我将密码更改为其他内容,并能够login,然后将密码更改回原始密码,我又能够login。
我检查了auth.log的密码更改,但没有发现任何有用的东西。
我也扫描病毒和rootkit,服务器返回这个:
ClamAV的:
"/bin/busybox Unix.Trojan.Mirai-5607459-1 FOUND"
RKHunter:
"/usr/bin/lwp-request Warning: The command '/usr/bin/lwp-request' has been replaced by a script: /usr/bin/lwp-request: a /usr/bin/perl -w script, ASCII text executable Warning: Suspicious file types found in /dev:"
应该指出,我的服务器并不广为人知。 我也更改了SSH端口并启用了两步validation。
我担心我被黑客攻击,有人试图欺骗我,“一切都好,别担心”。
像J Rock一样,我认为这是一个误报。 我有同样的经历。
我在短时间内收到来自6个不同的,地理位置分离的服务器的警报。 这些服务器中只有4个仅存在于专用networking上。 他们有一个共同点就是最近的每日更新。
所以,在检查了这个特洛伊木马的一些典型的启发式检查之后,我用我已知的清晰的基线启动了一个stream浪者的盒子,并且运行了freshclam。 这抓住了
“daily.cld是最新的(版本:22950,sigs:1465879,f级:63,build设者:新)”
随后的clamav /bin/busybox在原始服务器上返回相同的“/ bin / busybox Unix.Trojan.Mirai-5607459-1 FOUND”警报。
最后,为了好的措施,我也在Ubuntu的官方盒子里做了一个stream浪盒子,也得到了相同的“/ bin / busybox Unix.Trojan.Mirai-5607459-1 FOUND”(注意,我不得不在这个stream浪盒子上从其默认的512MB或clamscan失败与'死亡')
新鲜的Ubuntu 14.04.5 vagrant box完整的输出。
root@vagrant-ubuntu-trusty-64:~# freshclam ClamAV update process started at Fri Jan 27 03:28:30 2017 main.cvd is up to date (version: 57, sigs: 4218790, f-level: 60, builder: amishhammer) daily.cvd is up to date (version: 22950, sigs: 1465879, f-level: 63, builder: neo) bytecode.cvd is up to date (version: 290, sigs: 55, f-level: 63, builder: neo) root@vagrant-ubuntu-trusty-64:~# clamscan /bin/busybox /bin/busybox: Unix.Trojan.Mirai-5607459-1 FOUND ----------- SCAN SUMMARY ----------- Known viruses: 5679215 Engine version: 0.99.2 Scanned directories: 0 Scanned files: 1 Infected files: 1 Data scanned: 1.84 MB Data read: 1.83 MB (ratio 1.01:1) Time: 7.556 sec (0 m 7 s) root@vagrant-ubuntu-trusty-64:~#
所以,我也相信这可能是一个误报。
我会说,rkhunter没给我:“/ usr / bin / lwp-request Warning”的引用,所以也许PhysiOS Quantum有多个问题。
编辑:只是注意到,我从来没有明确表示,所有这些服务器是Ubuntu 14.04。 其他版本会有所不同?
Unix.Trojan.Mirai-5607459-1的ClamAV签名确实太广泛了,所以它可能是一个误报,正如J Rock和cayleaf所指出的那样。
例如,具有以下所有属性的任何文件都将与签名匹配:
(整个签名有点复杂,但是上面的条件足以满足比赛。)
例如,您可以创build这样的文件:
$ echo 'main() {printf("watchdog watchdog /proc/self busybox");}' > innocent.c $ gcc -o innocent innocent.c $ clamscan --no-summary innocent innocent: Unix.Trojan.Mirai-5607459-1 FOUND
任何busybox构build(在Linux上)通常都会匹配上面列出的四个属性。 这显然是一个ELF文件,它肯定会包含string“busybox”很多次。 它执行“/ proc / self / exe”来运行某些applet。 最后,“看门狗”发生两次:一次是小程序名称,一次是string“/var/run/watchdog.pid”。
这在我今天刚刚出现在我的ClamAV扫描/ bin / busybox。 我想知道如果更新的数据库有错误。
我试图通过SSHlogin,它不会接受我的密码。 根login被禁用,所以我去抢救和转换根login,并能够以root身份login。 以root用户身份,我尝试使用与之前尝试login的密码相同的密码更改受影响的帐户的密码,passwd回答“密码不变”。 然后,我将密码更改为其他内容,并能够login,然后将密码更改回原始密码,我又能够login。
这听起来像过期的密码。 通过root设置密码(成功)重置密码过期时钟。 你可以检查/ var / log / secure(或者与Ubuntu相同的东西),找出你的密码被拒绝的原因。