Ho installato il server ubuntu 12.04 su VM due settimane fa. Ho creato delle istantanee regolari. XXX tempo fa ho notato attività insolite e ho scoperto che una backdoor è stata installata sul mio server. Uno dei file backdoor era sshd. Ho quindi analizzato i log e trovato l'host che si è connesso al mio server in primo luogo (usando la mia password dell'account). Lo stesso metodo che ho estratto da sshd backdoor ha funzionato per accedere all'account root dell'host attaccante. Ho trovato una quantità significativa di host infetti (analizzando i log dell'host di attacco). E ho confrontato il software in esecuzione. Credo di aver isolato il demone che è vulnerabile.
In situazioni normali avrei semplicemente formattato la VM e ne avrei creata una nuova (lo stavo usando solo per lo sviluppo) ma aveva l'ultima versione stabile di Ubuntu 12.04 linux. (14.04 è stato rilasciato pochi giorni dopo aver creato la VM) Tuttavia questa sembra una vulnerabilità serios dal numero di host infetti (e alcuni altri dati sensibili) e dal fatto che il mio server stava eseguendo la versione più recente con tutti gli aggiornamenti di sicurezza e è ancora stato violato.
E per arrivare alla domanda - Cosa dovrei fare dopo?
(Ho tutte le istantanee (prima dell'infezione, dopo), l'accesso a molte macchine infette e una parte di VM infetta del server di una specie di botnet che scansiona e infetta altri host, e qualche conoscenza di quali altre attività lo fa)
PS: non è infelice in quanto la versione openssl del mio server è: OpenSSL 1.0.1 14 marzo 2012 costruito il: lunedì 7 aprile alle 20:33:29 UTC
E il servizio che ritengo vulnerabile non ha vulnerabilità note.
PPS: come posso verificare se questo è noto exploit?