Я не уверен, взломали меня или нет.
Я попытался войти через SSH, но он не принял мой пароль. Вход в систему с правами root отключен, поэтому я пошел на помощь, включил вход с правами root и смог войти в систему как root. Как root я попытался изменить пароль затронутой учетной записи с тем же паролем, с которым я пытался войти в систему раньше, passwd ответил "пароль не изменен". Затем я сменил пароль на другой и смог войти в систему, затем снова изменил пароль на исходный, и я снова смог войти в систему.
Я проверил auth.log для смены пароля, но ничего полезного не нашел.
Я также проверил на наличие вирусов и руткитов, и сервер вернул это:
ClamAV:
"/bin/busybox Unix.Trojan.Mirai-5607459-1 FOUND"
RKHunter:
"/usr/bin/lwp-request Warning: The command '/usr/bin/lwp-request' has been replaced by a script: /usr/bin/lwp-request: a /usr/bin/perl -w script, ASCII text executable
Warning: Suspicious file types found in /dev:"
Следует отметить, что мой сервер малоизвестен. Я также изменил порт SSH и включил двухэтапную аутентификацию.
Я беспокоюсь, что меня взломали, и кто-то пытается меня обмануть: «все в порядке, не беспокойтесь об этом».
Подпись ClamAV для Unix.Trojan.Mirai-5607459-1 определенно слишком широкая, поэтому, как отметили Джей Рок и Кейлиф, это, вероятно, ложное срабатывание.
Например, любой файл, имеющий все следующие свойства, будет соответствовать подписи:
(Вся подпись немного сложнее, но вышеуказанных условий достаточно для совпадения.)
Например, вы можете создать такой файл с помощью:
$ echo 'main() {printf("watchdog watchdog /proc/self busybox");}' > innocent.c
$ gcc -o innocent innocent.c
$ clamscan --no-summary innocent
innocent: Unix.Trojan.Mirai-5607459-1 FOUND
Любая сборка busybox (в Linux) обычно соответствует четырем свойствам, перечисленным выше. Очевидно, что это файл ELF, и он определенно будет содержать строку "busybox" много раз. Это выполняет "/ proc / self / exe" для запуска определенных апплетов. Наконец, «сторожевой таймер» встречается дважды: один раз в качестве имени апплета и один раз внутри строки «/var/run/watchdog.pid».
Как и Джей Рок, я считаю, что это ложное срабатывание. У меня был такой же опыт.
Я получил сигнал тревоги с 6 разных, разрозненных, географически разделенных серверов за короткий промежуток времени. 4 из этих серверов существовали только в частной сети. Единственное, что их объединяло, - это недавнее обновление daily.cld.
Итак, после безуспешной проверки некоторых типичных эвристик этого трояна, я загрузил бродячий ящик с моим известным чистым базовым уровнем и запустил freshclam. Это схватили
"daily.cld обновлен (версия: 22950, sigs: 1465879, f-level: 63, builder: neo)"
Последующий clamav /bin/busybox вернул такое же предупреждение "/ bin / busybox Unix.Trojan.Mirai-5607459-1 НАЙДЕНО" на исходных серверах.
Наконец, для хорошей меры, я также сделал бродячую коробку из официального Ubuntu коробка а также получил тот же "/ bin / busybox Unix.Trojan.Mirai-5607459-1 НАЙДЕН" (обратите внимание, мне пришлось увеличить объем памяти в этом бродячем ящике с 512 МБ по умолчанию, иначе clamscan завершился неудачно с 'убитым')
Полный вывод из свежей бродячей версии Ubuntu 14.04.5.
root@vagrant-ubuntu-trusty-64:~# freshclam
ClamAV update process started at Fri Jan 27 03:28:30 2017
main.cvd is up to date (version: 57, sigs: 4218790, f-level: 60, builder: amishhammer)
daily.cvd is up to date (version: 22950, sigs: 1465879, f-level: 63, builder: neo)
bytecode.cvd is up to date (version: 290, sigs: 55, f-level: 63, builder: neo)
root@vagrant-ubuntu-trusty-64:~# clamscan /bin/busybox
/bin/busybox: Unix.Trojan.Mirai-5607459-1 FOUND
----------- SCAN SUMMARY -----------
Known viruses: 5679215
Engine version: 0.99.2
Scanned directories: 0
Scanned files: 1
Infected files: 1
Data scanned: 1.84 MB
Data read: 1.83 MB (ratio 1.01:1)
Time: 7.556 sec (0 m 7 s)
root@vagrant-ubuntu-trusty-64:~#
Так что я также считаю, что это, скорее всего, ложное срабатывание.
Я скажу, Рхюнтер сделал не дайте мне ссылку: "/ usr / bin / lwp-request Warning", так что, возможно, PhysiOS Quantum имеет несколько проблем.
РЕДАКТИРОВАТЬ: только что заметил, что я никогда прямо не говорил, что все эти серверы - Ubuntu 14.04. Другие версии могут отличаться?
Это только что обнаружилось сегодня у меня в моем сканировании ClamAV для / bin / busybox. Мне интересно, есть ли в обновленной базе данных ошибка.
Я пытался войти через SSH, но мой пароль не принимался. Вход в систему с правами root отключен, поэтому я пошел на помощь, включил вход с правами root и смог войти в систему как root. Как root, я попытался изменить пароль затронутой учетной записи с тем же паролем, с которым я пытался войти в систему раньше, passwd ответил «пароль не изменен». Затем я изменил пароль на другой и смог войти в систему, затем изменил пароль на исходный, и я снова смог войти в систему.
Это похоже на просроченный пароль. Установка пароля (успешно) пользователем root сбрасывает время истечения срока действия пароля. Вы мог проверьте / var / log / secure (или что-то подобное в Ubuntu) и узнайте, почему ваш пароль был отклонен.