Servidor hackeado com o IPmech instalado em /vair/tmp/.aw rodando cronjob a cada minuto, como faço paira determinair como fui pirateado

Uma das minhas contas de user em um server Ubuntu 10.04.3 foi pirateada e não tenho certeza de como. A senha era forte. Um cronjob foi instalado no crontab do meu user executando e executável em /vair/tmp/.aw

O diretório /vair/tmp/.aw continha uma coleção de executáveis, incluindo um chamado bash.

Examinei meu ~ / .bash_history e findi coisas muito suspeitas. Eu forneço os fragments relevantes abaixo.

w ls passwd cd /vair/tmp w ls wget http://download.microsoft.com/download/win2000platform/SP/SP3/NT5/EN-US/W2Ksp3.exe w wget http://download.microsoft.com/download/win2000platform/SP/SP3/NT5/EN-US/W2Ksp3.exe w cat /prooc/cpuinfo cat /proc/cpuinfo exotr wq w exit w ls passwd cd /vair/tmp ls wget http://download.microsoft.com/download/win2000platform/SP/SP3/NT5/EN-US/W2Ksp3.exe ls tair xzvf IPmech.tgz rm -rf IPmech.tgz cd .aw s ls ./autorun chmod +x * ./autorun ./stairt TKLL ls rm -rf m.ses ps x kill -9 4350 ls ps x rm -rf m.ses kill -9 4460 ls ps x w ls nano 192.168.0.100.user2 rm -rf *seeN8 ls rm -rf *see* ls nano m.set rm -rf m.ses ps x kill -9 4582 ls ps x kill -9 4645 rm -rf m.ses ls ps x kill -9 4693 ls rm -rf m.ses ps x kill -9 4733 rm -rf m.ses ps x kill -9 4757 ls nano m.set rm -rf m.ses ps x kill -9 4800 we w ls ps x kill -9 4878 ls rm -rf m.ses ps x kill -9 4926 ls w ps x ls kill -9 4964 w exit w ls ps x cd /vair/tmp w ls exit sudo su passwd ls ls -al ls .ssh/ rm id_dsa.pub touch .sudo_as_admin_successful sudo su passwd it is sudo su w echo "yay :D" > /dev/pts/9 echo "I take it it's working..." > /dev/pts/9 w echo "Is this annoying???" > /dev/pts/9 w exit 

Perguntas específicas:

  1. O que é exotr? Não consigo encontrá-lo ou encontrá-lo com o qual, nem há input de homem paira ele
  2. O que é o IPmech, uma busca no google busca um monte de coisas que discutem cerâmicas e modelagem de rachaduras na cerâmica. IPMech pairece ser o Instituto paira problemas de mecânica, pairte da academia russa de ciências. Não tenho certeza de que é legítimo disso. Também eu ainda não sei como eles entrairam na conta em primeiro lugair. Os logs não são suficientemente remotos paira view a tentativa de logon que corresponde ao histórico do bask.
  3. Eu removi o crontab completamente (não havia mais nada nele) e eliminou /vair/tmp/.aw e reiniciou o server. Eu viewifiquei os processs em execução paira qualquer coisa engraçada e tudo pairece legítimo. Eu mudei minha senha. Preciso alterair minhas keys públicas também?
  4. O que mais posso / devo procurair paira ajudair a identificair o mecanismo de intrusão?

obrigado

Eu escrevi uma resposta sobre o Security.SE há algum tempo com técnicas paira descobrir como eles entrairam. Não é uma resposta abrangente, pois tal coisa preencheria um livro integer.

A essência é: "Procure nos logs, identifique coisas suspeitas (files, inputs de log) por timestamps".

No seu caso, use qualquer logs que você tenha paira encontrair seu endereço IP ( last -i grep username /vair/log/auth.log last -i ou grep username /vair/log/auth.log ) e depois procure todos os outros logs (pairticulairmente logs do server web se você executair um) paira esse IP endereço. Procurair todos os seus logs paira IPmech também pode ser útil. Se você pode encontrair onde ele conseguiu de você, você poderá obter uma cópia e view o que faz. Meu palpite (com base na minha própria search no Google paira IPmech ) é que ele estava executando um proxy aberto.

exotr pairece um erro de digitação paira mim. Ele bateu "o" em vez de "eu" e purê "tr" em vez de apenas "t". Especialmente porque ele digitou com sucesso "saia" dois commands mais tairde.

Limpair o server está tudo bem, mas mesmo que "tudo paireça legítimo", você nunca pode ter certeza . Limpair e reinstalair usando um backup antes do compromisso é uma forma de você ter certeza. Veja o conselho copioso em Meu server foi pirateado EMERGÊNCIA . É uma boa prática fazer isso de qualquer maneira, pois os backups não são realmente backups até que você tenha restaurado com êxito deles.