Мой сервер Linux был взломан? Как мне это определить? [duplicate]
На этот вопрос уже есть ответ здесь:
- Как справиться со взломанным сервером? 13 ответов
Запуск (X)Ubuntu 10.04.2 LTS за маршрутизатором.
Я только что получил письмо от моего root аккаунта на этой машине, со следующей темой:
*** SECURITY information for:
В теле сообщения было следующее предупреждение:
: jun 1 22:15:17 : : 3 неверные попытки ввода пароля ; TTY=unknown ; PWD=/ ; USER=root ; COMMAND=/bin/sh /tmp/tmpPHBmTO
Я не вижу файла /tmp/tmpPHBmTO, но есть файл с именем /tmp/tmpwoSrWW с меткой времени 2011-06-01 22:14, то есть прямо перед указанной датой/временем. Это двоичный файл, и его содержимое не кажется мне знакомым. Кроме того, этот файл имеет права доступа -rw-------.
Как я понял, это означает, что кто-то (или что-то) имеет (имело) доступ к моей машине. Очевидно, не root-доступ (пока), но все же, достаточно для записи файлов в мой каталог /tmp, по крайней мере.
Есть ли у кого-нибудь указатели на то, где я могу найти больше информации: кто и как мог это сделать?
Мой маршрутизатор настроен на разрешение доступа к перенаправлению трафика для SSH, HTTP (nginx действует как обратный прокси для одной из нескольких других служб), SMTP, POP (postfix) и IMAP (dovecot), а также порта 51413 (Transmission).
Я понимаю, что прошло два года с тех пор, как был задан исходный вопрос, но на случай, если кто-то еще придет сюда через Google, как я: Я видел это поведение, вызванное запущенным демоном Dropbox с учетной записью без полномочий root на сервере, на котором не работает X-сервер. Мне удалось скопировать файлы до того, как они были удалены. По какой-то причине демон хочет сбросить разрешения для своего каталога данных (не говоря уже о том, что для этого ему даже не потребовался бы root) и убить какой-то процесс. Я могу только догадываться, почему, возможно, он произвел какое-то автоматическое обновление и попытался перезагрузить себя или что-то в этом роде.
Файл / tmp / tmpe1AGcd содержит:
#!/bin/bash
sudo -K
zenity --entry --title="Dropbox" --text="Dropbox needs your permission to save settings to your computer.
Type your Linux password to allow Dropbox to make changes." --entry-text "" --hide-text | sudo -S /bin/sh /tmp/tmpAH5mxL
if [ "$?" != 0 ]; then
zenity --error --text="Sorry, wrong password"
exit 1
fi
Поскольку машина работает без головы и двоичный файл " zenity "даже не установлен, sudo получает пустые попытки ввода пароля и терпит неудачу при попытке выполнить / tmp / tmpAH5mxL, содержащий:
#!/bin/bash
chown -R 1000 "/home/<username>/.dropbox"
chmod -R u+rwX "/home/<username>/.dropbox"
kill -s USR2 5364
В результате я получил такое же сообщение, как и вы:
<hostname> : Jul 4 16:32:24 : <username>: 3 incorrect password attempts ; TTY=unknown ; PWD=/ ; USER=root ; COMMAND=/bin/sh /tmp/tmpAH5mxL
Если у Вас будет SSH, открытый Интернету, то Вы будете видеть попытки взлома, где scripties попытается взломать тот пароль.
Возможные шаги смягчения:
- Не позволяйте корневой вход в систему через SSH (su после входа в систему в случае необходимости)
- Имейте ОЧЕНЬ сильный пароль (думайте пароль - 10 или больше символов),
- Используйте ключевую аутентификацию для SSH и выключите автора пароля
- Установите fail2ban для блокирования попыток входа в систему после n попытки входа в систему
- Переместите ssh прочь порта по умолчанию (как рекомендуется @voithos)
Примечание: если Ваша машина будет уже поставлена под угрозу, то ни одно из вышеупомянутого не поможет.
Этот ответ обращается также к комментариям, сделанным на сообщении @uSlakr.
Ваш компьютер по крайней мере частично захвачен. Способность записать в Ваш/tmp с Вашим именем пользователя указывает на способность работать под Вашим именем пользователя. Способность записать под Вашим именем пользователя = способный сделать то, что Вы в настоящее время делаете.
Если у Вас есть сервисы, которые работают под Вашим именем пользователя, главным образом вероятно, что конкретный сервис был поставлен под угрозу. (1), Если у Вас нет сервисов, которые работают под Вашим именем пользователя, затем Ваша учетная запись была поставлена под угрозу полностью (т.е. с интерактивным доступом оболочки). Но это менее вероятно, см. (1).
Ваш лучший выбор к (1), копируют существующую систему к виртуальной машине для контроля + восстановление от старого резервного копирования (действительно осмотрите для файлов как этот), + останавливают доступ к сети (2), пароль изменения всей учетной записи (3) отключает все сервисы (4) обновление, все сервисы к новейшей версии (5) устанавливают программу обнаружения проникновения.
(1): Поскольку Вы видите, что злоумышленник пытается запустить некоторую программу для получения корневого доступа. Это не звучит очень как, у них есть интерактивный доступ оболочки - если бы у них была интерактивная оболочка, то они должны захватывать хеш Вашего пароля и взламывать его с некоторым способом//, установка своего рода программы к Вашей интерактивной оболочке для получения пароля root//использует sudo (это обычно лучшая идея, чем наличие времен неправильного пароля 3, ну, в общем, если они НАСТОЛЬКО глупы... nevermind),