Skocz do zawartości
kaziu

Włamanie na serwer

Polecane posty

Witam,

 

Dziś zauważyłem, że mój serwer został zresetowany, tylko ja mam root'a więc wydało mi się to dziwne.

Zacząłem studiować logi i znalazłem:

Nov 18 11:24:01 be3 CRON[27150]: pam_unix(cron:session): session opened for user root by (uid=0)
Nov 18 11:24:01 be3 CRON[27150]: pam_unix(cron:session): session closed for user root
Nov 18 11:25:01 be3 CRON[27200]: pam_unix(cron:session): session opened for user root by (uid=0)
Nov 18 11:25:01 be3 CRON[27200]: pam_unix(cron:session): session closed for user root
Nov 18 11:38:37 be3 su[2492]: Successful su for mysql by root
Nov 18 11:38:37 be3 su[2492]: + /dev/console root:mysql
Nov 18 11:38:37 be3 su[2492]: pam_unix(su:session): session opened for user mysql by (uid=0)
Nov 18 11:38:38 be3 su[2492]: pam_unix(su:session): session closed for user mysql
Nov 18 11:38:43 be3 su[3134]: Successful su for ejabberd by root
Nov 18 11:38:43 be3 su[3134]: + /dev/console root:ejabberd
Nov 18 11:38:43 be3 su[3134]: pam_unix(su:session): session opened for user ejabberd by (uid=0)
Nov 18 11:38:44 be3 sshd[3210]: Server listening on 0.0.0.0 port 5022.
Nov 18 11:38:44 be3 sshd[3210]: Server listening on :: port 5022.
Nov 18 11:38:47 be3 su[3134]: pam_unix(su:session): session closed for user ejabberd
Nov 18 11:38:47 be3 su[3357]: Successful su for ejabberd by root
Nov 18 11:38:47 be3 su[3357]: + /dev/console root:ejabberd
Nov 18 11:38:47 be3 su[3357]: pam_unix(su:session): session opened for user ejabberd by (uid=0)
Nov 18 11:38:47 be3 su[3357]: pam_unix(su:session): session closed for user ejabberd
Nov 18 11:38:47 be3 su[3383]: Successful su for ejabberd by root
Nov 18 11:38:47 be3 su[3383]: + /dev/console root:ejabberd
Nov 18 11:38:47 be3 su[3383]: pam_unix(su:session): session opened for user ejabberd by (uid=0)
Nov 18 11:38:47 be3 su[3383]: pam_unix(su:session): session closed for user ejabberd
Nov 18 11:38:48 be3 su[3465]: Successful su for ejabberd by root
Nov 18 11:38:48 be3 su[3465]: + /dev/console root:ejabberd
Nov 18 11:38:48 be3 su[3465]: pam_unix(su:session): session opened for user ejabberd by (uid=0)
Nov 18 11:38:49 be3 su[3465]: pam_unix(su:session): session closed for user ejabberd
Nov 18 11:38:50 be3 su[3598]: Successful su for ejabberd by root
Nov 18 11:38:50 be3 su[3598]: + /dev/console root:ejabberd
Nov 18 11:38:50 be3 su[3598]: pam_unix(su:session): session opened for user ejabberd by (uid=0)
Nov 18 11:38:50 be3 su[3598]: pam_unix(su:session): session closed for user ejabberd
Nov 18 11:38:51 be3 su[3743]: Successful su for ejabberd by root
Nov 18 11:38:51 be3 su[3743]: + /dev/console root:ejabberd

Jakim cudem ktoś się dostał na root'a? Mam debian 7 wheezy. Dziury w ejabberd? Mam dość trudne hasło i zmieniony port dla SSH.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Dokładnie to mi się nie chce ale myślę że masz konto root jako główne z możliwością bezpośredniego zalogowania na nie. Zasada nr jeden klucz zamiast hasła, zasada nr dwa utworzenie użytkownika podrzędnego ,zasada nr trzy wyłączenie dostępu dla konta root przy logowaniu przez ssh.

Masz niezabezpieczony serwer i tyle. Najprawdopodobniej na podstawie hasła do bazy dostał się i przypisał sobie uprawnienia root. jak serwer jest dziurawy to robisz co chcesz i jak chcesz.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Nie można się do mnie zalogować bezpośrednio jako root. Co mu dawało hasło do bazy mysql?

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Widocznie można skoro jako użytkownik restartował tobie serwer, a co dało mu dostęp? Sam fakt nie posiadania zabezpieczenia by po trzech np próbach blokowało IP świadczy o tym że nie jesteś przygotowany. Hasło wyciągnął z aplikacji ,np błędne prawa do plików?

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Najdziwniejsze jest to, że nie widać z jakiego IP się łączył, nic tylko od razu su itd.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

O ile się nie mylę to to jest auth.log. Sysloga i logi ejabbera sprawdzałeś?

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Jedynie ciągłe ataki na postfixa z Tajwanu:

Nov 18 11:44:33 be3 postfix/smtpd[3933]: warning: 60-249-253-146.HINET-IP.hinet.net[60.249.253.146]: SASL LOGIN authentication failed: UGFzc3dvcmQ6

Poza tym nic ciekawego nie widać. Może jakaś dziura w eJabberd, narazie wyłączyłem tą usługę i będę obserwował sytuacje.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Zobacz czy czasem nie masz jakiegoś nadprogramowego roota, sprawdź uidy i powłoki w /etc/passwd. Przejrzyj też shadow i sprawdź czy usery, które z reguły nie powinny mieć hasła, nagle je mają.

Hasło do swojego konta masz mocne? sudo wymusza podawanie hasła?

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Hasło do swojego konta mam mocne. Tak sudo wymusza podawanie hasła poza tym nikt nie jest dopisany do sudoers (zawsze idę na root'a przez su). passwd i shadow wyglądają w porządku. Staram się znaleźć jakiś ślad jego działalności ale niczego nie znajduję. Dziwne włamał się tylko po to żeby reset zrobić? Nie jest to maszyna produkcyjna.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Gość Spoofy
#!/bin/bash
TARGET="/"
#*-------------------------------------*
ok() {
	echo -e "[ ok ]   $@"
}

warn() {
	echo -e "[ WARNING ]   $@"
	allclean=0
}

doing() {
	echo -ne "         $@"
}

run() {
	# checking if target system is mounted
	if ! test -e $TARGET/bin/sh ; then
  	warn "Please mount target system on $TARGET before running this script ($TARGET/bin/sh not found)"
  	exit 1
	fi
	allclean=1
	# crontabs check
	if [ $TARGET == "/" ]; then
	for i in /var/spool/cron/crontabs/* /etc/crontab /etc/cron.*/* ; do
			if grep -q stablehost -- "$i" ; then
				warn "file $i is infected, cleaning"
				chattr -isa -- "$i"
				sed -i -re 's/.*stablehost.*//g' -- "$i"
			else
				ok "file $i is clean"
			fi
		done
	else
		for i in $TARGET/var/spool/cron/crontabs/* $TARGET/etc/crontab $TARGET/etc/cron.*/* ; do
			if grep -q stablehost -- "$i" ; then
				warn "file $i is infected, cleaning"
				chattr -isa -- "$i"
				sed -i -re 's/.*stablehost.*//g' -- "$i"
			else
				ok "file $i is clean"
			fi
		done
	fi
	# init scripts
	if [ $TARGET == "/" ]; then
                if [ -f /etc/conf.d/local.start ]; then
		  DIRS="/etc/init.d/webmin /etc/conf.d/local.start"
		else
		  DIRS="/etc/init.d/webmin"
		fi
		for i in $DIRS ; do
  		if grep -q system/pagezero -- "$i" ; then
    		warn "file $i is infected, cleaning"
    		chattr -isa -- "$i"
    		sed -i -re 's=.*system/pagezero.*==g' -- $i
  		else
    		ok "file $i is clean"
  		fi
		done
		for i in /etc/init.d/*ssh*
		do
  		if grep -q wget -- "$i" 2>/dev/null ; then
    		warn "file $i is infected, cleaning it"
    		chattr -isa "$i" --
    		sed -i -re 's/wget .+/true/g' -- "$i"
  		else
    		ok "file $i is clean"
  		fi
		done
	else
                if [ -f /etc/conf.d/local.start ]; then
                  DIRS="/etc/init.d/webmin /etc/conf.d/local.start"
                else
                  DIRS="/etc/init.d/webmin"
                fi
                for i in $DIRS ; do
			if grep -q system/pagezero -- "$i" ; then
				warn "file $i is infected, cleaning"
				chattr -isa -- "$i"
				sed -i -re 's=.*system/pagezero.*==g' -- $i
			else
				ok "file $i is clean"
			fi
		done
		for i in $TARGET/etc/init.d/*ssh*
		do
			if grep -q wget -- "$i" 2>/dev/null ; then
				warn "file $i is infected, cleaning it"
				chattr -isa "$i" --
				sed -i -re 's/wget .+/true/g' -- "$i"
			else
				ok "file $i is clean"
			fi
		done
	fi
	# immutable directories or files in /tmp
	if [ $TARGET == "/" ]; then
		for i in $(lsattr -R /tmp/ 2>/dev/null | awk '/^....i/ { print $2 }')
		do
  		if test -d "$i" ; then
    		warn "directory $i is immutable, deleting it"
    		find "$i" -print0 | xargs -r0 chattr -isa --
    		rm -Rf -- "$i"
  		else
    		warn "file $i is immutable, deleting it"
    		chattr -isa -- "$i"
    		rm -f -- "$i"
  		fi
		done
	else
		for i in $(lsattr -R $TARGET/tmp/ 2>/dev/null | awk '/^....i/ { print $2 }')
		do
			if test -d "$i" ; then
				warn "directory $i is immutable, deleting it"
				find "$i" -print0 | xargs -r0 chattr -isa --
				rm -Rf -- "$i"
			else
				warn "file $i is immutable, deleting it"
				chattr -isa -- "$i"
				rm -f -- "$i"
			fi
		done
	fi
	# known bad files to delete
	if [ $TARGET == "/" ]; then
		for i in /tmp/.x /tmp/sh /etc/cron.weekly/logrotater /usr/libexec/ssh-keysign /usr/include/{pi-crypt.h,filearch.h,uodbc_pos.h,uodbc_pos.so,uodbc_pos.h} /tmp/arm /tmp/mips /tmp/.roleModelZ /tmp/.roleModel /tmp/b /tmp/init /tmp/p  ; do
  		if test -e "$i" ; then
    		warn "file $i found, deleting it"
    		chattr -isa -- "$i"
    		rm -f -- "$i"
  		else
    		ok "file $i not found, good"
  		fi
		done
	else
		for i in $TARGET/tmp/.x $TARGET/tmp/sh $TARGET/etc/cron.weekly/logrotater $TARGET/usr/libexec/ssh-keysign $TARGET/usr/include/{pi-crypt.h,filearch.h,uodbc_pos.h,uodbc_pos.so,uodbc_pos.h} $TARGET/tmp/arm $TARGET/tmp/mips $TARGET/tmp/.roleModelZ $TARGET/tmp/.roleModel $TARGET/tmp/b $TARGET/tmp/init $TARGET/tmp/p  ; do
			if test -e "$i" ; then
				warn "file $i found, deleting it"
				chattr -isa -- "$i"
				rm -f -- "$i"
			else
				ok "file $i not found, good"
			fi
		done
	fi
	# known bad directories to delete
	if [ $TARGET == "/" ]; then
		for i in /var/system/pagezero ; do
  		if test -e "$i" ; then
    		warn "file $i found, deleting it"
    		find "$i" | xargs chattr -isa --
    		rm -Rf -- "$i"
  		else
    		ok "file $i not found, good"
  		fi
		done
	else
		for i in $TARGET/var/system/pagezero ; do
			if test -e "$i" ; then
				warn "file $i found, deleting it"
				find "$i" | xargs chattr -isa --
				rm -Rf -- "$i"
			else
				ok "file $i not found, good"
			fi
		done
	fi
	# neutralized files
	if [ $TARGET == "/" ]; then
		if stat /usr/bin/crontab | grep -q "0000/----------" ; then
  		warn "crontab binary has been neutralized, reactivating it"
  		chattr -isa -- "/usr/bin/crontab"
  		chmod 755 -- "/usr/bin/crontab"
		else
  		ok "crontab binary is fine"
		fi
		# fixing legit immutable dirs
		for i in /usr/src/bin /tmp
		do
  		if test -d "$i" && lsattr -- "$i" | awk '/lsattr: Inappropriate ioctl for device While reading flags on/ {getline; next} {print}' | grep -q '^....i' ; then
    		warn "directory $i is immutable, restoring correct attributes"
    		chattr -isa -- "$i"
  		else
    		ok "directory $i has correct attributes"
  		fi
		done
		foundone=0
		for i in $(find /bin/ /sbin/ /usr/bin/ /usr/sbin/ -type f -print0 | xargs -r0 grep -l -- 'grep -v' | xargs grep -lE 'if . -f /usr/src/')
		do
  		exename=$(basename -- "$i")
  		for dir in bin sbin ; do
    		if test -e /usr/src/$dir/$exename && ! cmp -s -- /usr/src/$dir/$exename $i ; then
      		foundone=1
      		warn "binary $i differs from /usr/src/$dir/$exename, restoring src version"
      		chattr -isa -- "$i" /usr/src/$dir/$exename
      		rm -f -- "$i"
      		cp -a -- "/usr/src/$dir/$exename" "$i"
      		chmod 755 -- "$i"
    		fi
  		done
		done
		if [ "$foundone" = 0 ] ; then
  		ok "no known-modified binary were found in /bin /sbin /usr/bin /usr/sbin, good"
		fi
	else
		if stat $TARGET/usr/bin/crontab | grep -q "0000/----------" ; then
			warn "crontab binary has been neutralized, reactivating it"
			chattr -isa -- "$TARGET/usr/bin/crontab"
			chmod 755 -- "$TARGET/usr/bin/crontab"
		else
			ok "crontab binary is fine"
		fi
		# fixing legit immutable dirs
		for i in $TARGET/usr/src/bin $TARGET/tmp
		do
	                if test -d "$i" && lsattr -- "$i" | grep -q '^....i' &> /dev/null; then
				warn "directory $i is immutable, restoring correct attributes"
				chattr -isa -- "$i"
			else
				ok "directory $i has correct attributes"
			fi
		done
		foundone=0
		for i in $(find $TARGET/bin/ $TARGET/sbin/ $TARGET/usr/bin/ $TARGET/usr/sbin/ -type f -print0 | xargs -r0 grep -l -- 'grep -v' | xargs grep -lE 'if . -f /usr/src/')
		do
			exename=$(basename -- "$i")
			for dir in bin sbin ; do
				if test -e $TARGET/usr/src/$dir/$exename && ! cmp -s -- $TARGET/usr/src/$dir/$exename $i ; then
					foundone=1
					warn "binary $i differs from $TARGET/usr/src/$dir/$exename, restoring src version"
					chattr -isa -- "$i" $TARGET/usr/src/$dir/$exename
					rm -f -- "$i"
					cp -a -- "$TARGET/usr/src/$dir/$exename" "$i"
					chmod 755 -- "$i"
				fi
			done
		done
		if [ "$foundone" = 0 ] ; then
			ok "no known-modified binary were found in $TARGET/bin $TARGET/sbin $TARGET/usr/bin $TARGET/usr/sbin, good"
		fi
	fi
	# (slow) known bad contents to search for
	if [ $TARGET == "/" ]; then
		foundone=0
		doing "looking for known trojans in several places"
		for i in $(find /tmp /etc /usr/*bin /*bin  -prune -name "hack-cleaner.sh" -type f -print0 | xargs -r0 -n100 grep -l "NOTICE %s :I'm having a problem resolving my host, someone will have to SPOOFS me manually")
		do
  		if file -- "$i" | grep -q executable ; then
      	foundone=1
      	warn "file $i found with known trojan, deleting it"
      	chattr -isa -- "$i"
      	rm -f -- "$i"
  		fi
		done
		if [ "$foundone" = 0 ] ; then
		echo ""
  		ok "no known-trojans were found                                 "
		fi
		# done
		if [ "$allclean" != 1 ] ; then
			echo -e ""
  		echo -e "Status: [ INFECTED ]"
			echo -e "WARNING!"
			echo -e "Your machine was infected and we tried to clean it, please relaunch this script to ensure all is OK"
		else
			echo -e ""
  		echo -e "Status: [ OK ]"
			echo -e "No known hack binary was found on your system"
		fi
	else
		foundone=0
		doing "looking for known trojans in several places"
		for i in $(find $TARGET/tmp $TARGET/etc $TARGET/usr/*bin $TARGET/*bin -type f -print0 | xargs -r0 -n100 grep -l "NOTICE %s :I'm having a problem resolving my host, someone will have to SPOOFS me manually")
		do
			if file -- "$i" | grep -q executable ; then
				foundone=1
				warn "file $i found with known trojan, deleting it"
				chattr -isa -- "$i"
				rm -f -- "$i"
			fi
		done
		if [ "$foundone" = 0 ] ; then
			ok "no known-trojans were found                                 "
		fi
		# done
		if [ "$allclean" != 1 ] ; then
			echo -e ""
			echo -e "Status: [ INFECTED ]"
			echo -e "WARNING!"
			echo -e "Your machine was infected and we tried to clean it, please relaunch this script to ensure all is OK"
		else
			echo -e ""
			echo -e "Status: [ OK ]"
			echo -e "No known hack binary was found on your system"
		fi
	fi
}


run

zapisz jako test.sh, potem :

chmod +x test.sh && ./test.sh

Zakładając że to debian/łudubuntu :

apt-get install chkrootkit rkhunter && chkrootkit && rkhunter

Potem jeszcze wycinek :

netstat -tupln

W najlepszym przypadku z output'ów jakie tutaj dasz, jak będę mieć może chwilę czasu to coś wywnioskuję, jak nie to zapraszam do zapoznania się z ofertą analizy powłamaniowej i/lub wdrożenia zabezpieczeń na PW.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

To jest VPS czy dedyk?

 

A osobom proponującym "zaorać" serwer i takie tam inne ciekawe rady proponuję zajrzeć do źródeł skryptu init.d odpalającego ejabberd: https://github.com/rivendale2010/content/wiki/etc%5Cinit.d%5Cejabberd a następnie zaorać sobie troszkę neuronów w mózgu.

 

W wersji tl;dr - wpisy su odnośnie ejabberd nie są niczym złym (bo tak ejabberd jest startowany); a restart mógł być spowodowany - w przypadku serwera dedykowanego np. awarią zasilania albo działaniem operatora serwerowni; w przypadku vpsa - czymś po stronie usługodawcy (np. aktualizacją oprogramowania na serwerze).

 

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Dedyk Kimsufi w OVH. Sprawdzalem listę awarii/interwencji wczoraj okolo 11:30 niby nic nie robili.

Dedyk Kimsufi w OVH. Sprawdzalem listę awarii/interwencji wczoraj okolo 11:30 niby nic nie robili.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Sprawdź poleceniem uptime czas działania serwera i poszukaj w /var/log/syslog i /var/log/messages jakichś informacji z tego czasu.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

@Spoofy

 

wklejam wynik test.sh:

[ ok ]   file /etc/cron.daily/mdadm is clean
[ ok ]   file /etc/cron.daily/mlocate is clean
[ ok ]   file /etc/cron.daily/ntp is clean
[ ok ]   file /etc/cron.daily/passwd is clean
[ ok ]   file /etc/cron.daily/prelink is clean
[ ok ]   file /etc/cron.d/mdadm is clean
[ ok ]   file /etc/cron.d/php5 is clean
[ ok ]   file /etc/cron.weekly/man-db is clean
[ ok ]   file /etc/cron.weekly/tor is clean
grep: /etc/init.d/webmin: Nie ma takiego pliku ani katalogu
[ ok ]   file /etc/init.d/webmin is clean
[ ok ]   file /etc/init.d/ssh is clean
[ ok ]   file /tmp/.x not found, good
[ ok ]   file /tmp/sh not found, good
[ ok ]   file /etc/cron.weekly/logrotater not found, good
[ ok ]   file /usr/libexec/ssh-keysign not found, good
[ ok ]   file /usr/include/pi-crypt.h not found, good
[ ok ]   file /usr/include/filearch.h not found, good
[ ok ]   file /usr/include/uodbc_pos.h not found, good
[ ok ]   file /usr/include/uodbc_pos.so not found, good
[ ok ]   file /usr/include/uodbc_pos.h not found, good
[ ok ]   file /tmp/arm not found, good
[ ok ]   file /tmp/mips not found, good
[ ok ]   file /tmp/.roleModelZ not found, good
[ ok ]   file /tmp/.roleModel not found, good
[ ok ]   file /tmp/b not found, good
[ ok ]   file /tmp/init not found, good
[ ok ]   file /tmp/p not found, good
[ ok ]   file /var/system/pagezero not found, good
[ ok ]   crontab binary is fine
[ ok ]   directory /usr/src/bin has correct attributes
lsattr: Operacja nie obsługiwana Podczas odczytu flag /tmp/php-fpm_webmail.sock
lsattr: Operacja nie obsługiwana Podczas odczytu flag /tmp/php-fpm_pma.sock
lsattr: Operacja nie obsługiwana Podczas odczytu flag /tmp/php-fpm_postfix.sock
[ ok ]   directory /tmp has correct attributes
[ ok ]   no known-modified binary were found in /bin /sbin /usr/bin /usr/sbin, good
         looking for known trojans in several places
[ ok ]   no known-trojans were found

Status: [ OK ]
No known hack binary was found on your system

Reszty nie będę wklejał bo sporo tego, ale generalnie nic ciekawego tam nie znalazłem.

 

@kafi

 

Wkleje to co było w logach zaraz przed i zaraz po restarcie:

 

SySlog:

Nov 18 11:41:43 be3 named[2395]: error (network unreachable) resolving '0.debian.pool.ntp.org.ovh.net/A/IN': 2001:500:3::42#53
Nov 18 11:41:43 be3 named[2395]: error (network unreachable) resolving '0.debian.pool.ntp.org.ovh.net/AAAA/IN': 2001:500:3::42#53
Nov 18 11:41:43 be3 named[2395]: error (network unreachable) resolving '0.debian.pool.ntp.org.ovh.net/A/IN': 2001:dc3::35#53
Nov 18 11:41:43 be3 named[2395]: error (network unreachable) resolving '0.debian.pool.ntp.org.ovh.net/AAAA/IN': 2001:dc3::35#53
Nov 18 11:41:43 be3 ntpd_intres[2493]: host name not found: 0.debian.pool.ntp.org
Nov 18 11:41:43 be3 named[2395]: error (network unreachable) resolving '1.debian.pool.ntp.org/A/IN': 198.41.0.4#53
Nov 18 11:41:43 be3 named[2395]: error (network unreachable) resolving '1.debian.pool.ntp.org/AAAA/IN': 198.41.0.4#53
Nov 18 11:41:43 be3 rsyslogd-2177: imuxsock begins to drop messages from pid 2395 due to rate-limiting
Nov 18 11:41:43 be3 ntpd_intres[2493]: host name not found: 1.debian.pool.ntp.org
Nov 18 11:41:44 be3 ntpd_intres[2493]: host name not found: 2.debian.pool.ntp.org
Nov 18 11:41:44 be3 ntpd_intres[2493]: host name not found: 3.debian.pool.ntp.org
Nov 18 11:42:01 be3 /USR/SBIN/CRON[6027]: (root) CMD (/usr/local/rtm/bin/rtm 12 > /dev/null 2> /dev/null)
Nov 18 11:43:54 be3 kernel: imklog 5.8.11, log source = /proc/kmsg started.
Nov 18 11:43:54 be3 rsyslogd: [origin software="rsyslogd" swVersion="5.8.11" x-pid="2323" x-info="http://www.rsyslog.com"] start
Nov 18 11:43:54 be3 kernel: [    0.000000] Initializing cgroup subsys cpuset
Nov 18 11:43:54 be3 kernel: [    0.000000] Initializing cgroup subsys cpu

w massages nawet nie ma co wklejać tylko logi uruchamianego kernela.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Gość Spoofy

Niewiem jak to jest z tym ejabberd.

 

Widzę że to maszyna z OVH (pewno kimsufi albo inne). Jak możesz to dla świętego spokoju przeinstaluj sobie system. Jak chcesz dalej grzebać czemu miałeś reboot'a to następnym razem loguj takie rzeczy np. poprzez auditd. Jeżeli korzystasz z hasła jako metodę uwierzytelnienia SSH to upewnij się również że nie masz jakiegoś syfu na komputerze z którego się łaczysz (keylogger? Inny syf ściągnięty z internetu po przeglądaniu np. "pornsite'ów"?). Ja jestem ciężko przewrażliwiony i zawsze dmucham na zimne - takie doświadczenia i taka moja natura. Ty nie musisz, a może równie dobrze się okazać że ten magiczny "reboot" to po prostu źle skonfigurowane środowisko, jak np. źle skonfigurowane iptables (przykład > ntpd nie wychodzi Ci na świat, DNS nie może odnaleźć domeny) i np. włączony monitoring OVH który sprawdza, pinguje z kilku hostów (na różnych portach) Twój serwer czy odpowiada - brak odpowiedzi = reboot.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

zasada nr trzy wyłączenie dostępu dla konta root przy logowaniu przez ssh.

 

Nie zgodzę się, wystarczy wyłączyć logowanie do roota po haśle (PermitRootLogin without-password). Nie ma potrzeby utrudniać sobie życia tam gdzie nie trzeba, logowanie na roota bezpośrednio po sshd przy pomocą klucza to wystarczające zabezpieczenie.

  • Upvote 1

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Logowanie z root'a mam od poczatku wylaczone wiec to nie tutaj tkwi problem. Wciaz przegladam logi i z tego co widze to nic sie nie dzieje. Chyba to byl fałszywy alarm.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Gość Spoofy

Logowanie z root'a mam od poczatku wylaczone wiec to nie tutaj tkwi problem. Wciaz przegladam logi i z tego co widze to nic sie nie dzieje. Chyba to byl fałszywy alarm.

 

Summa summarum - prawdopodobnie mógł to być po prostu losowy reboot budżetowego serwera (kimsufi). Oczywiście mogło to być również (co jest raczej mniej prawdopodobne) włamanie na serwer albo stację roboczą, ale bez odpowiedniego zbadania sprawy nie da się tego ustalić.

 

Jedyną lekcję jaką można wynieść z tej sytuacji jest to, aby nie pisać tematów w stylu "Włamanie na serwer" bez większej pewności a raczej "dziwny reboot", ponieważ u niektórych (np. u mnie :D) załacza się tryb iście detektywistyczny.

 

Co tak naprawdę było przyczyną?

 

Tego nie dowiemy się już nigdy....

 

https://www.youtube.com/watch?v=HQoRXhS7vlU

 

Pozdrawiam.

Edytowano przez Spoofy (zobacz historię edycji)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Bądź aktywny! Zaloguj się lub utwórz konto

Tylko zarejestrowani użytkownicy mogą komentować zawartość tej strony

Utwórz konto

Zarejestruj nowe konto, to proste!

Zarejestruj nowe konto

Zaloguj się

Posiadasz własne konto? Użyj go!

Zaloguj się


×