Existe um log nativo para comandos ssh de saída?

Question

Existe um log nativo para comandos ssh de saída?

#1 resposta do Kaz Wolfe (0 votos)

2

Em um servidor Ubuntu 16.04, recebi um aviso do meu provedor que meu IP tinha sido usado para atacar outros hosts, com o seguinte anexado:

May 23 22:42:07 shared02 sshd[23972]: Invalid user ircd from <my-ip>
May 23 22:42:07 shared02 sshd[23972]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=<my-ip>
May 23 22:42:09 shared02 sshd[23972]: Failed password for invalid user ircd from <my-ip> port 54952 ssh2
May 23 22:42:09 shared02 sshd[23972]: Received disconnect from <my-ip> port 54952:11: Normal Shutdown, Thank you for playing [preauth]
May 23 22:42:09 shared02 sshd[23972]: Disconnected from <my-ip> port 54952 [preauth]

Eu verifiquei o log em /var/log/auth.log e descobri que um ataque de dicionário estava ocorrendo há pelo menos 10 dias em meu próprio servidor, e que em algum momento uma senha de usuário fraca foi quebrada.

Eu assumo que o bot atacante usou esse acesso para atacar outros alvos, e foi por isso que recebi o aviso anterior. No entanto, não sei onde esta atividade poderia ter sido registrada. Existe algum arquivo que contenha esta informação nativamente nos sistemas Ubuntu?

Além disso, como questão de bônus, eu notei que o bot tentou logar como root deste usuário, mas até onde eu posso dizer, ele não tentou sudo nenhum comando, por que não?

por Angry Cub 25.05.2018 / 18:55

1 resposta

Posso fazer alterações no valor da barra superior usando o CLI com o tweak? Ubuntu 16.4 | Eclipse mostra uma janela branca no start-up

score 0 · Accepted Answer

Geralmente, não, não há registros sobre eventos de saída, como é assumido por alguém que os solicitou.

Dependendo de como o invasor fez login e de como ele executou o ataque, pode haver entradas em vários arquivos do histórico (por exemplo, ~/.bash_history ), mas não haverá nada nos syslogs, a menos que você adicione especificamente regras para registrá-lo. Se desejar, você pode configurar o registro de conexão de saída, embora alguns cuidados devam ser tomados para registrar apenas o que você deseja fazer. Um exemplo está disponível no fórum do Fedora e aproveita iptables .

Quanto à sua pergunta de login raiz. Geralmente, os invasores não se importam muito em obter acesso root. Eles só querem outro servidor para executar seus scripts de ataque. root faz parte do dicionário usado para ataques de usuários, apenas no caso raro de alguém ter uma conta root ativada com uma senha fraca. Além disso, não há garantia de que um usuário está em /etc/sudoers e você está perdendo um tempo precioso de ataque tentando ver se um usuário tem (desnecessário) sudo de acesso.