我试图通过SSH登录,它不接受我的密码.根登录被禁用,所以我去救援并打开root登录,并能够以root用户身份登录.作为root用户,我尝试使用与之前尝试登录的密码相同的密码更改受影响帐户的密码,passwd回复“密码未更改”.然后我将密码更改为其他内容并且能够登录,然后将密码更改回原始密码,我再次能够登录.
我检查了auth.log以获取密码更改,但没有找到任何有用的内容.
我还扫描了病毒和rootkit,服务器返回了这个:
ClamAV的:
"/bin/busyBox Unix.Trojan.Mirai-5607459-1 FOUND"
RKHunter:
"/usr/bin/lwp-request Warning: The command '/usr/bin/lwp-request' has been replaced by a script: /usr/bin/lwp-request: a /usr/bin/perl -w script,ASCII text executable Warning: SuspicIoUs file types found in /dev:"
应该注意的是,我的服务器并不广为人知.我还更改了SSH端口并启用了两步验证.
我很担心我被黑了,有人试图欺骗我,“一切都很好,不用担心”.
解决方法
我在很短的时间内收到了6个不同的,不同的,地理上分散的服务器的警报.其中4台服务器仅存在于专用网络上.他们有一个共同点是最近的daily.cld更新.
因此,在检查了这个特洛伊木马的一些典型启发式方法后,我没有成功,我用我已知的干净基线启动了一个流浪盒并运行了freshclam.这抓住了
“daily.cld is up to date (version: 22950,sigs: 1465879,f-level: 63,
builder: neo)”
随后的clamav / bin / busyBox在原始服务器上返回相同的“/ bin / busyBox Unix.Trojan.Mirai-5607459-1 FOUND”警报.
最后,为了更好的衡量,我还从Ubuntu的官方@L_301_0@做了一个流浪盒,也得到了同样的“/ bin / busyBox Unix.Trojan.Mirai-5607459-1 FOUND”(注意,我不得不在这个流浪盒上记忆从它的默认512MB或clamscan失败’杀死’)
新鲜的Ubuntu 14.04.5流浪盒的全部输出.
root@vagrant-ubuntu-trusty-64:~# freshclam ClamAV update process started at Fri Jan 27 03:28:30 2017 main.cvd is up to date (version: 57,sigs: 4218790,f-level: 60,builder: amishhammer) daily.cvd is up to date (version: 22950,builder: neo) bytecode.cvd is up to date (version: 290,sigs: 55,builder: neo) root@vagrant-ubuntu-trusty-64:~# clamscan /bin/busyBox /bin/busyBox: Unix.Trojan.Mirai-5607459-1 FOUND ----------- SCAN SUMMARY ----------- Known viruses: 5679215 Engine version: 0.99.2 Scanned directories: 0 Scanned files: 1 Infected files: 1 Data scanned: 1.84 MB Data read: 1.83 MB (ratio 1.01:1) Time: 7.556 sec (0 m 7 s) root@vagrant-ubuntu-trusty-64:~#
所以,我也相信这可能是误报.
我会说,rkhunter没有给我:“/usr/bin/lwp-request Warning”参考,所以也许PhysiOS Quantum有一个以上的问题.
编辑:刚刚注意到我从未明确表示所有这些服务器都是Ubuntu 14.04.其他版本可能有所不同
