Rsyslogd Entrada de log sobre ataque criado por aplicativo desconhecido

1

Eu tenho um servidor em execução para fins de teste que capturou recentemente algumas entradas de log estranhas em / var / log / syslog, /var/log/user.log e / var / log / messages. auth.log não mostra nada suspeito. Nenhum usuário (humano) deveria ter feito o login durante esse período.

O servidor quase não executa software, apenas o daemon sshd.

As entradas de log não revelam qual programa as criou, elas parecem ter origem em alguma atividade de varredura de portas e sondagem.

Alguém tem uma ideia de onde essas mensagens podem vir? (SOMEDATETIME é a hora da entrada de log e SOMEIP um endereço IP desconhecido)

SOMEDATETIME GET / HTTP/1.0#015
SOMEDATETIME SOMEIP #015 
SOMEDATETIME SOMEIP #015 
SOMEDATETIME SOMEIP #015 
SOMEDATETIME OPTIONS / HTTP/1.0#015
SOMEDATETIME SOMEIP #015 
SOMEDATETIME OPTIONS / RTSP/1.0#015
SOMEDATETIME SOMEIP #015 
SOMEDATETIME SOMEIP HELP#015 
SOMEDATETIME SOMEIP #026#003#000#000S#001#000#000O#003#000?G���,���'~�#000��{�Ֆ�w����<=�o�#020n#000#000(#000#026#000#023 
SOMEDATETIME SOMEIP #026#003#000#000i#001#000#000e#003#003U#034��random1random2random3random4#000#000#014#000/ 
SOMEDATETIME SOMEIP #000#000#000qj�n0�k�#003#002#001#005�#003#002#001 
SOMEDATETIME GET /nice%20ports%2C/Tri%6Eity.txt%2ebak HTTP/1.0#015
SOMEDATETIME SOMEIP #015 
SOMEDATETIME SOMEIP #001default 
SOMEDATETIME SOMEIP #002 
SOMEDATETIME OPTIONS sip: nm SIP/2.0#015
SOMEDATETIME SOMEIP Via: SIP/2.0/TCP nm;branch=foo#015
SOMEDATETIME SOMEIP From: <sip:nm@nm>;tag=root#015
SOMEDATETIME SOMEIP To: <sip:nm2@nm2>#015
SOMEDATETIME SOMEIP Call-ID: 50000#015
SOMEDATETIME SOMEIP CSeq: 42 OPTIONS#015
SOMEDATETIME SOMEIP Max-Forwards: 70#015
SOMEDATETIME SOMEIP Content-Length: 0#015
SOMEDATETIME SOMEIP Contact: <sip:nm@nm>#015
SOMEDATETIME SOMEIP Accept: application/sdp#015
SOMEDATETIME SOMEIP #015
    
por user608231 20.06.2016 / 14:18

3 respostas

2

É o resultado de alguém executando uma varredura Nmap contra seu servidor - o Nmap encontra uma porta TCP aberta e, em seguida, envia vários pacotes tentando descobrir se algum de um número de tipos de serviços comuns (HTTP, RTSP, SIP, ... ) está ativo nessa porta.

(Eu apenas tentei executar o Zenmap 7.40 em um aplicativo de servidor que estou desenvolvendo e registrei exatamente a mesma sequência de strings).

    
por 24.02.2017 / 11:15
1

Descobri que a explicação para esse comportamento está na configuração do rsyslog. Por padrão, o rsyslog aceita entrada UDP da porta 514 e registra qualquer pacote de entrada em arquivos de log de mensagens, syslog e usr.log. Isso ocorre porque o rsyslog é configurado para atuar como um serviço de log remoto por padrão também. Isso pode ser desativado comentando

#$ModLoad imudp
#$UDPServerRun 514
#$ModLoad imtcp
#$InputTCPServerRun 514

no /etc/rsyslog.conf

    
por 16.08.2016 / 17:28
0

O log que você mostrou não é extremamente útil: não está claro se SOMEIP é sempre o mesmo ou não, ou se SOMEDATETIMEs são muito diferentes, ou todos eles ocorrem em um burst, ou eles são agrupados em torno de um pequeno número de intervalos de tempo.

De qualquer forma, eles são basicamente tentativas de contatar o seu Servidor da Web, que você não está executando, portanto as mensagens são registradas em / var / log em vez de /var/log/apache2 ou algo parecido. Parece um pouco estranho que alguém se esforce tanto para tentar abrir um servidor da Web que não está escutando, por favor, certifique-se de fazer não ter um servidor Web em execução, verificando a saída

 ss -lntp

para servidores que atendem em portas padrão (80,443) ou não padrão.

Os registros restantes se tornam mais interessantes, porque eles registram tentativas de contatar um PBX através do seu servidor Web, PBX que, de acordo com o seu OP, você não está executando. No entanto, o protocolo (SIP), o endereço, <sip:nm@nm> e o Protocolo de Descrição de Sessão ( Accept: application/sdp ) todos falam volumes para isso.

Mais uma vez, você tem certeza de que não está executando um PBX ? Parece que alguém colocou um na sua máquina. Novamente, se você acha que sua máquina não foi violada, o comando

ss -lnup

(para o protocolo UDP, em vez do protocolo TCP) informará qual processo está escutando em qual porta.

Mas , se a sua máquina tiver sido violada, o texto acima pode muito bem relatar nada de suspeito, enquanto na verdade muita coisa ilegal está acontecendo. Você pode tentar acalmar seus medos (bem fundamentados, infelizmente) baixando e executando chkrootkit e rkhunter . Você também pode ler aqui (desculpas por se referir à minha própria resposta, Eu sei que não é legal, mas me poupa algum trabalho). E acima de tudo, você deve se perguntar: eu desabilitei o login por senha no ssh e introduzi chaves criptográficas? Se a resposta a esta pergunta for Não , então as chances são de sua máquina foi violado. Você deve então reinstalar a partir do zero e seguir as instruções acima para desativar o login de senha em ssh em favor do uso de chaves públicas / privadas, que são imensamente mais seguras.

    
por 20.06.2016 / 18:50