我试图通过SSH登录,它不接受我的密码.根登录被禁用,所以我去救援并打开root登录,并能够以root用户身份登录.作为root用户,我尝试使用与之前尝试登录的密码相同的密码更改受影响帐户的密码,passwd回复“密码未更改”.然后我将密码更改为其他内容并且能够登录,然后将密码更改回原始密码,我再次能够登录.
我检查了auth.log以获取密码更改,但没有找到任何有用的内容.
我还扫描了病毒和rootkit,服务器返回了这个:
ClamAV的:
"/bin/busyBox Unix.Trojan.Mirai-5607459-1 FOUND"
RKHunter:
"/usr/bin/lwp-request Warning: The command '/usr/bin/lwp-request' has been replaced by a script: /usr/bin/lwp-request: a /usr/bin/perl -w script,ASCII text executableWarning: SuspicIoUs file types found in /dev:"
应该注意的是,我的服务器并不广为人知.我还更改了SSH端口并启用了两步验证.
我很担心我被黑了,有人试图欺骗我,“一切都很好,不用担心”.
解决方法 像J Rock一样,我认为这是误报.我有同样的经历.我在很短的时间内收到了6个不同的,不同的,地理上分散的服务器的警报.其中4台服务器仅存在于专用网络上.他们有一个共同点是最近的daily.cld更新.
因此,在检查了这个特洛伊木马的一些典型启发式方法后,我没有成功,我用我已知的干净基线启动了一个流浪盒并运行了freshclam.这抓住了
“daily.cld is up to date (version: 22950,sigs: 1465879,f-level: 63,
builder: neo)”
随后的clamav / bin / busyBox在原始服务器上返回相同的“/ bin / busyBox Unix.Trojan.Mirai-5607459-1 FOUND”警报.
最后,为了更好的衡量,我还从Ubuntu的官方box做了一个流浪盒,也得到了同样的“/ bin / busyBox Unix.Trojan.Mirai-5607459-1 FOUND”(注意,我不得不在这个流浪盒上记忆从它的默认512MB或clamscan失败’杀死’)
新鲜的Ubuntu 14.04.5流浪盒的全部输出.
root@vagrant-ubuntu-trusty-64:~# freshclamClamAV update process started at Fri Jan 27 03:28:30 2017main.cvd is up to date (version: 57,sigs: 4218790,f-level: 60,builder: amishhammer)daily.cvd is up to date (version: 22950,builder: neo)bytecode.cvd is up to date (version: 290,sigs: 55,builder: neo)root@vagrant-ubuntu-trusty-64:~# clamscan /bin/busyBox/bin/busyBox: Unix.Trojan.Mirai-5607459-1 FOUND----------- SCAN SUMMARY -----------KNown viruses: 5679215Engine version: 0.99.2Scanned directorIEs: 0Scanned files: 1Infected files: 1Data scanned: 1.84 MBData read: 1.83 MB (ratio 1.01:1)Time: 7.556 sec (0 m 7 s)root@vagrant-ubuntu-trusty-64:~#
所以,我也相信这可能是误报.
我会说,rkhunter没有给我:“/usr/bin/lwp-request Warning”参考,所以也许PhysiOS Quantum有一个以上的问题.
编辑:刚刚注意到我从未明确表示所有这些服务器都是Ubuntu 14.04.其他版本可能有所不同
总结以上是内存溢出为你收集整理的linux – 奇怪的SSH,服务器安全性,我可能已经被黑了全部内容,希望文章能够帮你解决linux – 奇怪的SSH,服务器安全性,我可能已经被黑了所遇到的程序开发问题。
如果觉得内存溢出网站内容还不错,欢迎将内存溢出网站推荐给程序员好友。
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)