Est-ce que je viens de me faire pirater ?

EDIT 2 :

Il y a une bonne raison pour laquelle ce post attire autant l'attention : vous avez réussi à enregistrer l'intégralité de la session en direct d'un intrus sur votre PC. C'est très différent de notre expérience quotidienne, où nous devons faire face à la découverte des conséquences de ses actes et essayer de les réparer. Ici, nous le voyons au travail, nous constatons qu'il a des difficultés à établir la porte dérobée, nous retraçons ses pas, nous travaillons fébrilement (peut-être parce qu'il était assis à votre bureau, comme suggéré ci-dessus, ou peut-être, et à mon avis plus probablement, parce qu'il n'a pas pu faire fonctionner son logiciel malveillant sur le système, lire ci-dessous), et nous essayons de déployer des instruments de contrôle totalement autonomes. C'est ce que les chercheurs en sécurité constatent quotidiennement avec leurs pièges à miel . Pour moi, c'est une chance très rare, et la source d'un certain amusement.

Vous avez certainement été piraté. La preuve en est que pas proviennent de l'extrait de la auth.log que vous avez affiché, car il signale une tentative de connexion infructueuse, sur une courte période de temps (deux secondes). Vous remarquerez que la deuxième ligne indique Failed password tandis que le troisième fait état d'une pre-auth déconnexion : le gars a essayé et a échoué.

La preuve vient plutôt du contenu des deux dossiers http://222.186.30.209:65534/yjz y http://222.186.30.209:65534/yjz1 que l'attaquant a téléchargé sur votre système.

Le site est actuellement ouvert à tous pour les télécharger, ce que j'ai fait. J'ai d'abord lancé file sur eux, ce qui a montré :

$ file y*
yjz:      ELF 32-bit LSB  executable, Intel 80386, version 1 (SYSV), statically linked, for GNU/Linux 2.2.5, not stripped
yjz1:     ELF 32-bit LSB  executable, Intel 80386, version 1 (SYSV), statically linked, for GNU/Linux 2.6.9, not stripped

Je les ai ensuite transférés sur une machine virtuelle Debian 64 bits que je possède. strings a révélé beaucoup de choses suspectes (référence à diverses attaques bien connues, à des commandes à substituer, à un script clairement utilisé pour configurer un nouveau service, etc.)

J'ai ensuite produit les MD5-hash des deux fichiers, et je les ai transmis à Cymru pour voir s'ils sont des agents connus de logiciels malveillants. Alors que yjz ne l'est pas, yjz1 est, et Cymru rapporte une probabilité de détection par les logiciels anti-virus de 58%. Il indique également que ce fichier a été vu pour la dernière fois il y a environ trois jours, il est donc raisonnablement récent.

Running clamscan (qui fait partie de la clamav ) sur les deux fichiers que j'ai obtenus :

$ clamscan y*
yjz: Linux.Backdoor.Gates FOUND
yjz1: Linux.Trojan.Xorddos FOUND

donc nous sommes maintenant certains que le logiciel standard de Linux peut l'identifier.

Que devez-vous faire ?

Bien qu'assez récent, aucun des deux systèmes n'est très nouveau, voir cet article de Jan. 2015 sur XorDdos par exemple. La plupart des logiciels libres devraient donc être capables de le supprimer. Vous devriez essayer : clamav , rkhunter , chkrootkit . J'ai fait des recherches sur Google et j'ai vu qu'ils prétendent être capables de le repérer. Utilisez-les pour vérifier le travail du prédécesseur, mais après avoir exécuté ces trois programmes, vous devriez être prêt à partir.

Quant à la question plus large, what should you do to prevent future infections La réponse de Journeyman est une bonne première étape. Gardez à l'esprit qu'il s'agit d'une lutte permanente, que nous avons tous (y compris moi !) pu perdre sans même le savoir.

EDIT :

À la demande (indirecte) de Viktor Toth, je voudrais ajouter quelques commentaires. Il est certainement vrai que l'intrus a rencontré quelques difficultés : il télécharge deux outils de piratage distincts, modifie leurs autorisations à plusieurs reprises, les redémarre plusieurs fois et tente à plusieurs reprises de désactiver le pare-feu. Il est facile de deviner ce qui se passe : il s'attend à ce que ses outils de piratage ouvrent un canal de communication vers l'un de ses ordinateurs infectés (voir plus loin), et, lorsqu'il ne voit pas ce nouveau canal Spring apparaître sur son interface graphique de contrôle, il craint que son outil de piratage soit bloqué par le pare-feu, et il répète donc la procédure d'installation. Je suis d'accord avec Viktor Toth pour dire que cette étape particulière de son opération ne semble pas apporter les fruits escomptés, mais je voudrais vous encourager très fortement ne pas sous-estimer l'étendue des dégâts infligés à votre pc.

Je fournis ici un résultat partiel de strings yjz1 :

etc/init.d/%s
/etc/rc%d.d/S90%s
--del
chkconfig
remove
update-rc.d
/etc/cron.hourly/gcc4.sh
/etc/rc.d/rc%d.d/S90%s
--add
defaults
/proc/%d/exe
/proc/self/exe
HOME=/
MYSQL_HISTFILE=/dev/null
#!/bin/sh
# chkconfig: 12345 90 90
# description: %s
### BEGIN INIT INFO
# Provides:             %s
# Required-Start:
# Required-Stop:
# Default-Start:        1 2 3 4 5
# Default-Stop:
# Short-Description:    %s
### END INIT INFO
case $1 in
start)
stop)
esac
sed -i '/\/etc\/cron.hourly\/gcc4.sh/d' /etc/crontab && echo '*/3 * * * * root /etc/cron.hourly/gcc4.sh' >> /etc/crontab
etc/init.d/%s
GET %s HTTP/1.1
%sHost: %s
POST %s HTTP/1.1
%sHost: %s
Content-Type: application/x-www-form-urlencoded
Content-Length: %d
%s%s
Accept: */*
Accept-Language: zh-cn
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.2; SV1;      TencentTraveler ; .NET CLR 1.1.4322)
Connection: Keep-Alive

Cela fournit la preuve d'une altération des services (en /etc/init.d et en /etc/rc.d ), avec crontab avec le fichier historique de mysql et quelques fichiers dans proc qui sont des liens vers bash (ce qui suggère qu'une version frauduleuse personnalisée de votre Shell a été plantée). Ensuite, le programme génère une requête HTTP (vers un site de langue chinoise,

 Accept-Language: zh-cn

ce qui donne corps au commentaire de David Schwartz ci-dessus), ce qui pourrait créer encore plus de ravages. Dans la demande, les binaires ( Content-Type: application/x-www-form-urlencoded ) doivent être téléchargés sur le PC attaqué (GET) et téléchargés sur la machine de contrôle (POST). Je n'ai pas pu établir ce qui serait téléchargé sur le PC attaqué, mais, étant donné la petite taille des deux fichiers yjz y yjz1 (respectivement 1,1 Mo et 600 Ko), je peux supposer que la plupart des fichiers nécessaires à la dissimulation du rootkit, c'est-à-dire les versions modifiées de ls , netstat , ps , ifconfig ..., seraient téléchargés de cette façon. Et cela expliquerait les tentatives fébriles de l'attaquant pour faire démarrer ce téléchargement.

Il n'est pas certain que ce qui précède épuise toutes les possibilités : il nous manque certainement une partie de la transcription (entre les lignes 457 et 481) et nous ne voyons pas de logout ; de plus, les lignes 495-497 sont particulièrement inquiétantes,

cd /tmp;  ./yd_cd/make

qui font référence à un fichier que nous n'avons pas vu être téléchargé, et qui pourrait être une compilation : si c'est le cas, cela signifie que l'attaquant a (enfin ?) compris quel était le problème avec ses exécutables, et qu'il essaie de le résoudre, auquel cas le PC attaqué a disparu pour de bon. [En fait, les deux versions du malware que l'attaquant a téléchargé sur la machine piratée (et moi sur ma VM Debian 64bit) sont pour une architecture inadaptée, x86, alors que le seul nom du pc piraté indique qu'il s'agissait d'une architecture arm].

La raison pour laquelle j'ai écrit cet édit est de vous inciter le plus fortement possible soit à peigner votre système avec un instrument professionnel, soit à le réinstaller à partir de zéro.

Et, au fait, si cela peut s'avérer utile à quelqu'un, voici la liste de la 331 Les adresses IP auxquelles yjz essaie de se connecter. Cette liste est tellement longue (et probablement destinée à le devenir encore plus) que je pense que c'est la raison pour laquelle il faut trafiquer mysql . La liste fournie par l'autre porte dérobée est identique, ce qui, je suppose, est la raison pour laquelle on laisse une information aussi importante à l'air libre. pensez à l'attaquant ne souhaitait pas faire l'effort de les stocker au format du noyau, il a donc placé toute la liste dans un fichier en texte clair, qui est probablement lu par toutes ses portes dérobées, quel que soit le système d'exploitation) :

61.132.163.68
202.102.192.68
202.102.213.68
202.102.200.101
58.242.2.2
202.38.64.1
211.91.88.129
211.138.180.2
218.104.78.2
202.102.199.68
202.175.3.3
202.175.3.8
202.112.144.30
61.233.9.9
61.233.9.61
124.207.160.110
202.97.7.6
202.97.7.17
202.106.0.20
202.106.46.151
202.106.195.68
202.106.196.115
202.106.196.212
202.106.196.228
202.106.196.230
202.106.196.232
202.106.196.237
202.112.112.10
211.136.17.107
211.136.28.231
211.136.28.234
211.136.28.237
211.147.6.3
219.141.136.10
219.141.140.10
219.141.148.37
219.141.148.39
219.239.26.42
221.130.32.100
221.130.32.103
221.130.32.106
221.130.32.109
221.130.33.52
221.130.33.60
221.176.3.70
221.176.3.73
221.176.3.76
221.176.3.79
221.176.3.83
221.176.3.85
221.176.4.6
221.176.4.9
221.176.4.12
221.176.4.15
221.176.4.18
221.176.4.21
58.22.96.66
218.104.128.106
202.101.98.55
211.138.145.194
211.138.151.161
211.138.156.66
218.85.152.99
218.85.157.99
222.47.29.93
202.101.107.85
119.233.255.228
222.47.62.142
122.72.33.240
211.98.121.27
218.203.160.194
221.7.34.10
61.235.70.98
113.111.211.22
202.96.128.68
202.96.128.86
202.96.128.166
210.21.3.140
210.21.4.130
211.95.193.97
211.98.2.4
211.98.4.1
211.162.61.225
211.162.61.235
211.162.61.255
211.162.62.1
211.162.62.60
221.4.66.66
202.103.176.22
202.96.144.47
210.38.192.33
202.96.134.33
202.96.134.133
202.96.154.15
210.21.196.6
221.5.88.88
202.103.243.112
202.193.64.33
61.235.164.13
61.235.164.18
202.103.225.68
221.7.136.68
202.103.224.68
211.97.64.129
211.138.240.100
211.138.242.18
211.138.245.180
221.7.128.68
222.52.118.162
202.98.192.67
202.98.198.167
211.92.136.81
211.139.1.3
211.139.2.18
202.100.192.68
211.97.96.65
211.138.164.6
221.11.132.2
202.100.199.8
202.99.160.68
202.99.166.4
202.99.168.8
222.222.222.222
202.102.224.68
202.102.227.68
222.85.85.85
222.88.88.88
210.42.241.1
202.196.64.1
112.100.100.100
202.97.224.68
219.235.127.1
61.236.93.33
211.93.24.129
211.137.241.34
219.147.198.230
202.103.0.68
202.103.0.117
202.103.24.68
202.103.44.150
202.114.0.242
202.114.240.6
211.161.158.11
211.161.159.3
218.104.111.114
218.104.111.122
218.106.127.114
218.106.127.122
221.232.129.30
59.51.78.210
61.234.254.5
202.103.96.112
219.72.225.253
222.243.129.81
222.246.129.80
211.142.210.98
211.142.210.100
220.168.208.3
220.168.208.6
220.170.64.68
218.76.192.100
61.187.98.3
61.187.98.6
202.98.0.68
211.93.64.129
211.141.16.99
202.98.5.68
219.149.194.55
211.138.200.69
202.102.3.141
202.102.3.144
58.240.57.33
112.4.0.55
114.114.114.114
114.114.115.115
202.102.24.34
218.2.135.1
221.6.4.66
221.131.143.69
202.102.8.141
222.45.0.110
61.177.7.1
218.104.32.106
211.103.13.101
221.228.255.1
61.147.37.1
222.45.1.40
58.241.208.46
202.102.9.141
202.102.7.90
202.101.224.68
202.101.226.68
211.141.90.68
211.137.32.178
202.96.69.38
211.140.197.58
219.149.6.99
202.96.86.18
101.47.189.10
101.47.189.18
118.29.249.50
118.29.249.54
202.96.64.68
202.96.75.68
202.118.1.29
202.118.1.53
219.148.204.66
202.99.224.8
202.99.224.67
211.90.72.65
211.138.91.1
218.203.101.3
202.100.96.68
211.93.0.81
222.75.152.129
211.138.75.123
202.102.154.3
202.102.152.3
219.146.1.66
219.147.1.66
202.102.128.68
202.102.134.68
211.138.106.19
211.90.80.65
202.99.192.66
202.99.192.68
61.134.1.4
202.117.96.5
202.117.96.10
218.30.19.40
218.30.19.50
116.228.111.118
180.168.255.18
202.96.209.5
202.96.209.133
202.101.6.2
211.95.1.97
211.95.72.1
211.136.112.50
211.136.150.66
119.6.6.6
124.161.97.234
124.161.97.238
124.161.97.242
61.139.2.69
202.98.96.68
202.115.32.36
202.115.32.39
218.6.200.139
218.89.0.124
61.139.54.66
61.139.39.73
139.175.10.20
139.175.55.244
139.175.150.20
139.175.252.16
168.95.1.1
210.200.211.193
210.200.211.225
211.78.130.1
61.31.1.1
61.31.233.1
168.95.192.1
168.95.192.174
61.60.224.3
61.60.224.5
202.113.16.10
202.113.16.11
202.99.96.68
202.99.104.68
211.137.160.5
211.137.160.185
219.150.32.132
202.98.224.68
211.139.73.34
61.10.0.130
61.10.1.130
202.14.67.4
202.14.67.14
202.45.84.58
202.45.84.67
202.60.252.8
202.85.128.32
203.80.96.9
203.142.100.18
203.142.100.21
203.186.94.20
203.186.94.241
221.7.1.20
61.128.114.133
61.128.114.166
218.202.152.130
61.166.150.123
202.203.128.33
211.98.72.7
211.139.29.68
211.139.29.150
211.139.29.170
221.3.131.11
222.172.200.68
61.166.150.101
61.166.150.139
202.203.144.33
202.203.160.33
202.203.192.33
202.203.208.33
202.203.224.33
211.92.144.161
222.221.5.240
61.166.25.129
202.96.103.36
221.12.1.227
221.130.252.200
222.46.120.5
202.96.96.68
218.108.248.219
218.108.248.245
61.130.254.34
60.191.244.5
202.96.104.15
202.96.104.26
221.12.33.227
202.96.107.27
61.128.128.68
61.128.192.68
218.201.17.2
221.5.203.86
221.5.203.90
221.5.203.98
221.7.92.86
221.7.92.98

Le code suivant

 #!/bin/bash
 echo 0 > out
 while read i; do
       whois $i | grep -m 1 -i country >> out
 done < filename
 cat out | grep -i cn | wc -l

sur la liste ci-dessus montre que 302 sur un total de 331 adresses se trouvent en Chine continentale, les autres à Hong Kong, en Mongolie et à Taiwan. Cela confirme l'affirmation de David Schwartz selon laquelle il s'agit principalement d'un réseau de robots chinois.

EDIT 3

À la demande de @vaid (l'auteur de l'OP, lire son commentaire ci-dessous), je vais ajouter un commentaire sur la façon de renforcer la sécurité d'un système Linux de base (pour un système fournissant de nombreux services, c'est un sujet bien plus complexe). vaid déclare qu'il a fait ce qui suit :

1. Réinstaller le système

2. a changé le mot de passe de la racine en un mot de passe de 16 caractères avec un mélange de lettres et de caractères minuscules et majuscules et de chiffres.

3. Changer le nom d'utilisateur en un nom d'utilisateur de 6 caractères mixtes et appliquer le même mot de passe que celui utilisé pour root.

4. changé le port SSH en quelque chose de supérieur à 5000

5. désactivé le login root SSH.

C'est très bien (sauf que j'utilise un port supérieur à 10 000 car de nombreux programmes utiles utilisent les ports inférieurs à 10 000). Mais Je ne saurais trop insister sur la nécessité d'utiliser des clés cryptographiques pour la connexion ssh. au lieu de mots de passe. Je vais vous donner un exemple personnel. Sur l'un de mes VPS, je ne savais pas si je devais changer le port ssh ; je l'ai laissé à 22, mais j'ai utilisé des clés cryptographiques pour l'authentification. J'avais des centaines de tentatives d'effraction par jour mais aucun n'a réussi. Lorsque, fatigué de vérifier quotidiennement que personne n'avait réussi, j'ai fini par changer le port à quelque chose de plus de 10 000, les tentatives d'intrusion sont devenues nulles. Remarquez, ce n'est pas que les pirates sont stupides (ils ne le sont pas !), ils chassent simplement des proies plus faciles.

Il est facile d'activer une clé cryptographique avec RSA comme algorithme de signature, voir le commentaire ci-dessous de Jan Hudec (merci !):

 cd; mkdir .ssh; chmod 700 .ssh; cd .ssh; ssh-keygen -t rsa (then hit ENTER>/kbd> three times); cat id_rsa.pub >> authorized_keys; chmod 600 *

Maintenant, tout ce que vous avez à faire est de copier le fichier id_rsa sur la machine à partir de laquelle vous voulez vous connecter (dans un répertoire .ssh également chmod à 700), puis lancez la commande

ssh -p YourChosenNonStandardPort -i ~/.ssh/id_rsa me@RemoteMachine

Lorsque vous êtes sûr que cela fonctionne, éditez sur le serveur (=la machine à laquelle vous voulez vous connecter) le fichier /etc/ssh/sshd_config et modifiez la ligne

#PasswordAuthentication yes

à

PasswordAuthentication no

et redémarrer le ssh service ( service ssh restart ou systemctl restart ssh ou quelque chose comme ça, selon la distro).

Cela résistera à beaucoup de choses. En fait, il n'y a actuellement aucun exploit connu contre les versions actuelles de openssh v2 et du RSA tel qu'il est employé par openssh v2 .

Enfin, pour bien verrouiller votre machine, vous devrez configurer le pare-feu (netfilter/iptables) comme suit :

 iptables -A INPUT -p tcp --dport YourChosenNonStandardPort -j ACCEPT
 iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
 iptables -P INPUT DROP
 iptables -P OUTPUT ACCEPT
 iptables -A INPUT -i lo -j ACCEPT
 iptables -A OUTPUT -o lo -j ACCEPT

Ainsi, 1) il autorise les connexions ssh depuis le LAN et le WAN, 2) il autorise toutes les entrées provenant de vos requêtes (par exemple, lorsque vous chargez une page Web), 3) il rejette tout le reste sur l'entrée, 4) il autorise tout sur la sortie, et 5-6) il autorise tout sur l'interface de bouclage.

Au fur et à mesure que vos besoins augmentent, et que d'autres ports doivent être ouverts, vous pouvez le faire en ajoutant, en haut de la liste, des règles telles que :

 iptables -A INPUT -p tcp --dport 80 -j ACCEPT

pour permettre par exemple à des personnes d'accéder à votre navigateur Web.