Je ne sais pas si j'ai été piraté ou non.
J'ai essayé de me connecter via SSH et il n'a pas accepté mon mot de passe. La connexion root est désactivée, je suis donc allé à la rescousse et j'ai activé la connexion root et j'ai pu me connecter en tant que root. En tant que root, j'ai essayé de changer le mot de passe du compte affecté avec le même mot de passe avec lequel j'avais essayé de me connecter auparavant, j'ai passwd
répondu "mot de passe inchangé". J'ai ensuite changé le mot de passe pour quelque chose d'autre et j'ai pu me connecter, puis j'ai changé le mot de passe pour le mot de passe d'origine et j'ai de nouveau pu me connecter.
J'ai vérifié les auth.log
changements de mot de passe mais je n'ai rien trouvé d'utile.
J'ai également analysé les virus et les rootkits et le serveur a renvoyé ceci:
ClamAV:
"/bin/busybox Unix.Trojan.Mirai-5607459-1 FOUND"
RKHunter:
"/usr/bin/lwp-request Warning: The command '/usr/bin/lwp-request' has been replaced by a script: /usr/bin/lwp-request: a /usr/bin/perl -w script, ASCII text executable
Warning: Suspicious file types found in /dev:"
Il convient de noter que mon serveur n'est pas largement connu. J'ai également changé le port SSH et activé la vérification en 2 étapes.
Je suis inquiet d'avoir été piraté et quelqu'un essaie de me tromper, "tout va bien ne t'en fais pas".