Сервер Ubuntu взломан. Восстановление

Question

Сервер Ubuntu взломан. Восстановление

Я был атакован кем-то из Китая, и им удалось установить Yam (крипто-майнинг) на мой сервер Ubuntu 14.04.

Мне удалось закрыть их ssh доступ через публичный IP. и я исправил ущерб, который они нанесли. За исключением двух вещей, которые меня все еще смущают.

1 - не могу отредактировать /etc/rc.local из корня. у них есть скрипт для adduser 'setup' с правами root. Я не могу редактировать скрипт, хотя он принадлежит пользователю root и имеет разрешение. Я получил разрешение отказано. Я могу редактировать другие файлы, чтобы файловая система не только для чтения.

2- Каждый раз, когда я вхожу через ssh, я получаю приветственное сообщение, затем "У вас есть почта", за которым следует огромное количество ошибок, в которых отказано в разрешении, например:

    You have mail. 
    find: `/var/log/speech-dispatcher': Permission denied 
    find: `/var/log/samba/cores': Permission denied
    -bash: /var/log/Xorg.1.log.old: Permission denied
    -bash: /var/log/apache2/error.log.43.gz: Permission denied
    -bash: /var/log/apache2/error.log.14.gz: Permission denied
    -bash: /var/log/apache2/access.log.44.gz: Permission denied
    -bash: /var/log/apache2/error.log.13.gz: Permission denied
    -bash: /var/log/apache2/crm65.com-access_log: Permission denied
    -bash: /var/log/apache2/access.log.9.gz: Permission denied
    -bash: /var/log/apache2/error.log.36.gz: Permission denied
    -bash: /var/log/apache2/error.log.16.gz: Permission denied
    -bash: /var/log/apache2/error.log.11.gz: Permission denied
    -bash: /var/log/apache2/testcrm-error.log: Permission denied
    -bash: /var/log/apache2/error.log.46.gz: Permission denied
    -bash: /var/log/apache2/error.log.18.gz: Permission denied
    -bash: /var/log/apache2/access.log.45.gz: Permission denied
    -bash: /var/log/apache2/access.log.34.gz: Permission denied
    -bash: /var/log/apache2/vtigercrm-access.log: Permission denied
.
.

в основном он проходит через весь каталог /var/log.

Я не уверен, что там происходит.

Любая помощь приветствуется!

3

14.04 ssh hacking

Источник

Sam 13 фев '19 в 16:24

1 ответ

Другие вопросы по тегам 14.04 ssh hacking

Sam 13 фев '19 в 22:13 2019-02-13 22:13 · Answer 1 · 2019-02-13 22:13

Хакер установил неизменяемость rc.local.

Использовал chattr для изменения атрибутов файла, и я смог отредактировать его.

Что касается ошибок, в которых отказано в разрешении при входе в систему, хакер вставил строки в сценарии motd, чтобы удалить файлы журнала, чтобы скрыть любые следы своей программы yam. удаление этих строк решило проблему.

Я надеюсь, что это поможет любому с подобной проблемой. Я рекомендую вам отредактировать ваш ssh/iptables, чтобы разрешить только определенные IP-адреса для входа через ssh, чтобы избежать такой проблемы, я научился трудному пути.