Avevo una VM basata su Ubuntu 16.04.03 e l'unico pacchetto aggiunto ad esso era OpenVPN. Lo scopo era quello di fornire una VPN nella mia rete privata situata all'interno dell'ambiente cloud. L'hypervisor è anche 16.04.03.
L'altro giorno ho notato il 100% di utilizzo della CPU e una volta effettuato l'accesso ho notato un processo "yam" che consumava tutti i cicli utente. La ricerca di Google ha rivelato che probabilmente è un bitcoin miner.
Nessuna delle altre macchine virtuali sul sistema o sull'hypervisor sembrava essere interessata. Ho 20 core iperthreaded su quel sistema, quindi ho pensato che se il malware fosse stato in grado di farlo sarebbero andati oltre 40 thread invece dei 2 che avevano.
Quindi ho ucciso il processo, poi ho rimosso la VM con l'intento di ricostruirla al mattino. Scioccamente non ho intrapreso altre azioni.
Al mattino ho scoperto che tutte le macchine virtuali su quel sistema erano giù e le password erano state modificate sull'hypervisor. Ho potuto effettuare il login tramite un'autenticazione con chiave_autenticazione SSH, ma non ho potuto eseguire sudo con la mia normale password. Peggio ancora, lo zpool ZFS era stato distrutto. Tutti gli aggiornamenti di Ubuntu sono stati applicati.
Quindi sono dovuto andare al sito di localizzazione di co-hosting (fortunatamente locale) e ripristinare il sistema con l'accesso alla console. Sono stato in grado di richiamare l'array di archiviazione e le altre macchine virtuali. Ho cambiato tutte le password (un bel po 'di queste sono un po' dolorose.)
Quindi le mie domande sono le seguenti:
-
Quale exploit potrebbe essere stato utilizzato per entrare nella VM VPN ma non nelle altre? Solo che VM aveva OpenVPN su di esso.
-
Quale exploit potrebbe essere stato utilizzato per rimuovere l'array ZFS e le password nell'hypervisor? È possibile che l'exploit sia stato chiuso dagli aggiornamenti?
-
Mi sembra che se avessero avuto accesso alla shell di root avrebbero potuto fare più danni di loro. Il fatto che non siano a) perché erano "belli" o b) non avevano davvero quel livello di accesso?
Mi rendo conto che queste domande non possono essere risolte in modo definitivo con i dettagli delle informazioni che ho qui, ma qualsiasi consiglio o suggerimento da parte di qualcuno che ha esperienza con una situazione simile sarebbe probabilmente utile.