Назад | Перейти на главную страницу

Взломанный сервер с установленным IPmech в /var/tmp/.aw, запускающий cronjob каждую минуту, как определить, как меня взломали

Одна из моих учетных записей на сервере Ubuntu 10.04.3 была взломана, и я не знаю, как это сделать. Пароль был надежным. Cronjob был установлен в crontab моего пользователя, запущенный и исполняемый в /var/tmp/.aw

Каталог /var/tmp/.aw содержал набор исполняемых файлов, в том числе один под названием bash.

Я проверил свой ~ / .bash_history и обнаружил очень подозрительные вещи. Ниже я привожу соответствующие фрагменты.

    w
    ls
    passwd
    cd /var/tmp
    w
    ls
    wget http://download.microsoft.com/download/win2000platform/SP/SP3/NT5/EN-US/W2Ksp3.exe
    w
    wget http://download.microsoft.com/download/win2000platform/SP/SP3/NT5/EN-US/W2Ksp3.exe
    w
    cat /prooc/cpuinfo
    cat /proc/cpuinfo
    exotr
    wq
    w
    exit
    w
    ls
    passwd
    cd /var/tmp
    ls
    wget http://download.microsoft.com/download/win2000platform/SP/SP3/NT5/EN-US/W2Ksp3.exe
    ls
    tar xzvf IPmech.tgz
    rm -rf IPmech.tgz
    cd .aw
    s
    ls
    ./autorun
    chmod +x *
    ./autorun
    ./start TKLL
    ls
    rm -rf m.ses
    ps x
    kill -9 4350
    ls
    ps x
    rm -rf m.ses
    kill -9  4460
    ls
    ps x
    w
    ls
    nano 192.168.0.100.user2
    rm -rf *seeN8
    ls
    rm -rf *see*
    ls
    nano m.set
    rm -rf m.ses
    ps x
    kill -9 4582
    ls
    ps x
    kill -9 4645
    rm -rf m.ses
    ls
    ps x
    kill -9 4693
    ls
    rm -rf m.ses
    ps x
    kill -9 4733
    rm -rf m.ses
    ps x
    kill -9 4757
    ls
    nano m.set
    rm -rf m.ses
    ps x
    kill -9 4800
    we
    w
    ls
    ps x
    kill -9 4878
    ls
    rm -rf m.ses
    ps x
    kill -9 4926
    ls
    w
    ps x
    ls
    kill -9 4964
    w
    exit
    w
    ls
    ps x
    cd /var/tmp
    w
    ls
    exit
    sudo su
    passwd
    ls
    ls -al
    ls .ssh/
    rm id_dsa.pub 
    touch .sudo_as_admin_successful 
    sudo su
    passwd
    it is
    sudo su
    w
    echo "yay :D" > /dev/pts/9
    echo "I take it it's working..." > /dev/pts/9
    w
    echo "Is this annoying???" > /dev/pts/9
    w
    exit

Конкретные вопросы:

  1. Что такое экзотр? Я не могу найти или найти его с помощью какого, и для него нет входа человека
  2. Что такое IPmech, поиск в Google дает кучу материалов, посвященных керамике и моделированию трещин в керамике. ИПМех выглядит как Институт проблем механики Российской академии наук. Я не уверен, что это законно. Также я до сих пор не знаю, как они вообще попали в аккаунт. Журналы не возвращаются достаточно далеко назад, чтобы увидеть попытку входа в систему, соответствующую истории корзины.
  3. Я полностью удалил crontab (в нем больше ничего не было), удалил /var/tmp/.aw и перезагрузил сервер. Я проверил запущенные процессы на предмет чего-нибудь забавного, и все выглядит нормально. Я сменил свой пароль. Нужно ли мне менять и мои открытые ключи?
  4. Что еще можно / нужно искать, чтобы определить механизм вторжения?

Спасибо

Я написал ответьте на Security.SE некоторое время назад с методами выяснения того, как они попали внутрь. Это не исчерпывающий ответ, поскольку такая вещь заняла бы целую книгу.

Суть его такова: «Смотрите в журналах; выявляйте подозрительные вещи (файлы, записи в журналах) по отметкам времени».

В вашем случае используйте любые журналы, которые у вас есть, чтобы найти его IP-адрес (last -i или grep username /var/log/auth.log), а затем просмотрите все другие журналы (особенно журналы веб-сервера, если вы его запустите) для этого IP-адреса. Поиск во всех ваших журналах IPmech также может быть полезно. Если вы найдете, откуда он это взял, вы могли бы сами получить копию и посмотреть, что она делает. Мое предположение (основанное на моем собственном поиске в Google для IPmech) заключается в том, что на нем был запущен открытый прокси.

exotr похоже на опечатку exit мне. Он ударил «o» вместо «i» и размял «tr» вместо «t». Тем более, что через две команды он успешно набрал «выход».

Очистить сервер - это хорошо, но даже если «все выглядит нормально», вы никогда не сможете конечно. Вы можете быть уверены, что очистка и повторная установка с использованием резервной копии до компрометации. См. Подробный совет в Мой сервер был взломан в АВАРИИ. В любом случае это хорошая практика, поскольку резервные копии на самом деле не являются резервными копиями, пока вы не восстановите их успешно.