Sur Internet, des questions comme «Comment puis-je vérifier si mon routeur, ordinateur, caméra IP ou tout autre appareil se trouve dans le botnet?» Sont très courantes. Cela m'a motivé à parler de l'un des rares cas de collision avec des botnets de ma pratique.
En étudiant le trafic suspect, je suis tombé sur l'adresse IP du routeur, à partir de laquelle des tentatives infructueuses ont été faites pour se connecter via SSH à mon HONEYPOT. Dans /var/log/auth.log, j'ai vu ceci:
... Oct 9 23:52:04 dvrh sshd[3523]: Failed password for root from 129.***.***.29 port 35276 ssh2 Oct 9 23:52:04 dvrh sshd[3523]: Connection closed by authenticating user root 129.***.***.29 port 35276 [preauth] Oct 9 23:52:05 dvrh sshd[3525]: Connection closed by authenticating user root 129.***.***.29 port 35278 [preauth] Oct 9 23:52:06 dvrh sshd[3529]: Failed password for root from 129.***.***.29 port 35280 ssh2 Oct 9 23:52:06 dvrh sshd[3529]: Connection closed by authenticating user root 129.***.***.29 port 35280 [preauth] Oct 9 23:52:06 dvrh sshd[3531]: Invalid user admin from 129.***.***.29 port 35282 Oct 9 23:52:07 dvrh sshd[3531]: Failed password for invalid user admin from 129.***.***.29 port 35282 ssh2 Oct 9 23:52:07 dvrh sshd[3531]: Connection closed by invalid user admin 129.***.***.29 port 35282 [preauth] Oct 9 23:52:08 dvrh sshd[3533]: Invalid user test from 129.***.***.29 port 35286 Oct 9 23:52:11 dvrh sshd[3533]: Failed password for invalid user test from 129.***.***.29 port 35286 ssh2 Oct 9 23:52:11 dvrh sshd[3533]: Connection closed by invalid user test 129.***.***.29 port 35286 [preauth] Oct 9 23:52:11 dvrh sshd[3535]: Invalid user test from 129.***.***.29 port 35288 Oct 9 23:52:12 dvrh sshd[3535]: Failed password for invalid user test from 129.***.***.29 port 35288 ssh2 Oct 9 23:52:12 dvrh sshd[3535]: Connection closed by invalid user test 129.***.***.29 port 35288 [preauth] Oct 9 23:53:12 dvrh sshd[3537]: Invalid user admin from 129.***.***.29 port 35290 Oct 9 23:53:12 dvrh sshd[3537]: Connection closed by invalid user admin 129.***.***.29 port 35290 [preauth] ...
La conclusion n'a pas été difficile: quelqu'un a essayé d'accéder à mon serveur en utilisant un ensemble de connexions et de mots de passe standard. De plus (à en juger par les intervalles de temps), cela a été fait en mode automatique. Cela signifie que c'est probablement un autre routeur qui est membre du botnet.
En fait, cette image est typique pour les hôtes avec un port 22 ouvert. Vous pouvez le vérifier vous-même: ouvrez ssh pour accéder à partir d'Internet externe, autorisez la saisie du mot de passe et les robots ne vous feront pas attendre. Dans le même temps, ~ 80% des tentatives proviendront de Chine.
Heureusement, après un certain temps, j'ai réussi à accéder à cette IP malheureuse via ssh en utilisant l'un des identifiants et mots de passe standard (Surpris? Je ne le fais pas). Mais il s'est avéré que ce n'est pas un routeur ordinaire, mais un appareil appelé Calix GigaSpire.
Calix GigaSpire est un système de contrôle domestique intelligent sous le système d'exploitation EXOS. GigaSpire comprend les fonctionnalités suivantes:
- Prise en charge du Wi-Fi 6 (802.11ax), avec 8x8 à 5 GHz et 4x4 à 2,4 GHz
- Service Multi Gigabit
- Services de niveau 2 et de niveau 3
- Géré par Calix Support Cloud
- Prise en charge de l'IoT (Bluetooth Low Energy, Zigbee 3.0 et Z-Wave Pro)
- Amazon Alexa Voice Assistant
La première chose que j'ai faite, en me connectant au système, j'ai regardé la liste des processus en cours d'exécution pour trouver quelque chose d'intéressant. Et ce «quelque chose d'intéressant» ressemblait à ceci:
[router] / # ps ... 2978 root 1444 S {kkbs2l3mdqjq} ipjq2njq5qjq 9729 root 1584 S {kkbs2l3mdqjq} ipjq2njq5qjq 14871 root 5532 S {hgoj42jadsjvebc} m6ojj5oj5gojj2h08b8l 19037 root 308 S {hgoj42jadsjvebc} m6ojj5oj5gojj2h08b8l 19041 root 284 S {hgoj42jadsjvebc} m6ojj5oj5gojj2h08b8l ...
La suspicion est le "caractère aléatoire" des noms de ces processus. Pour comprendre ce que sont ces processus, je suggère de rappeler ce qu'est le système de fichiers / proc:
procfs est un système de fichiers spécial utilisé sur les systèmes d'exploitation de type UNIX. Vous permet d'accéder aux informations du noyau sur les processus système. Requis pour exécuter des commandes telles que ps, w, top. Il est généralement monté sur / proc. De ce répertoire, vous pouvez obtenir toutes les informations sur votre système. Par exemple, la quantité de mémoire d'échange actuellement utilisée, la taille de la mémoire cache du processeur, les modules du noyau chargés, le nombre de disques ou de partitions disponibles, etc.
Nous sommes intéressés par les répertoires contenant des informations sur les processus suspects trouvés. Ils ont la forme / proc / PID, où PID est l'ID du processus pour lequel ce répertoire contient des informations. Si vous regardez leur contenu, vous pouvez trouver les fichiers suivants:
- cmdline - contient la commande avec laquelle le processus a été lancé, ainsi que les paramètres qui lui sont passés
- cwd - lien symbolique vers le répertoire de travail actuel du processus
- exe - lien vers le fichier exécutable
- root - lien vers le dossier racine
- environ - variables d'environnement disponibles pour le processus
- fd - contient des descripteurs de fichiers, des fichiers et des périphériques que le processus utilise
- maps , statm et mem - informations sur la mémoire de processus
- stat , status - état du processus
Que pouvons-nous y faire? La première chose qui me vient à l'esprit est de calculer la somme de contrôle de l'un des fichiers exécutables et de rechercher des correspondances sur Internet:
/ # md5sum /proc/2978/exe d204e97ac15a6d0a3ed7e415edfa582e /proc/2978/exe
J'ai trouvé ce md5 dans la
liste des sommes de contrôle Mirai , qui indique la nature de l'origine du fichier. Mais que pouvons-nous faire maintenant? Pour vous débarrasser du bot Mirai, redémarrez simplement le routeur. Mais dans ce cas, c'est inutile, car un nouveau malware va bientôt monter sur un routeur avec un simple mot de passe, et changer le mot de passe de quelqu'un d'autre est un excès, vous savez quoi.