He instalado ubuntu server 12.04 en VM hace dos semanas. He creado instantáneas regulares. Hace XXX tiempo noté una actividad inusual y descubrí que había una puerta trasera instalada en mi servidor. Uno de los archivos de puerta trasera fue sshd. Luego analicé los registros y encontré el host que se conectó a mi servidor en primer lugar (usando la contraseña de mi cuenta). El mismo método que extraje de sshd backdoored funcionó para acceder a la cuenta raíz del host atacante. He encontrado una cantidad significativa de hosts infectados (analizando los registros del host de ataque). Y he comparado el software en ejecución. Creo que he aislado el demonio que es vulnerable.
En situaciones normales, solo formatearía la máquina virtual y crearía una nueva (la estaba usando solo para desarrollo) pero tenía la última versión de Ubuntu Ubuntu 12.04 Linux. (14.04 se lanzó días después de haber creado la máquina virtual) Sin embargo, esto parece ser una vulnerabilidad grave por el número de hosts infectados (y algunos otros datos confidenciales) y por el hecho de que mi servidor estaba ejecutando la última versión con todas las actualizaciones de seguridad y Todavía fue hackeado.
Y para llegar a la pregunta, ¿qué debo hacer a continuación?
(Tengo todas las instantáneas (antes de la infección, después de eso), acceso a una gran cantidad de máquinas infectadas, y una VM de un servidor infectado que forma parte de algún tipo de red de bots que escanea e infecta a otros hosts, y algo de conocimiento sobre qué otros actividades que hace)
PD: no es un problema, ya que la versión de openssl de mi servidor es: OpenSSL 1.0.1 14 de marzo de 2012 construido en: lun 7 de abril 20:33:29 UTC 2014
Y el servicio que creo que es vulnerable no tiene vulnerabilidades conocidas.
PPS: ¿Cómo puedo verificar si esto es un exploit conocido?