Executando (X) o Ubuntu 10.04.2 LTS atrás de um roteador.
Acabei de receber um email da minha conta raiz nessa máquina, com o seguinte assunto:
*** SECURITY information for <hostname>:
O corpo da mensagem continha este aviso:
<hostname> : jun 1 22:15:17 : <username> : 3 incorrect password attempts ; TTY=unknown ; PWD=/ ; USER=root ; COMMAND=/bin/sh /tmp/tmpPHBmTO
Não vejo nenhum arquivo /tmp/tmpPHBmTO , embora exista um arquivo chamado /tmp/tmpwoSrWW com um registro de data e hora entre 2011-06-01 22:14, logo antes da data / hora mencionada. É um arquivo binário e o conteúdo não me parece familiar. Além disso, esse arquivo tem apenas -rw------- de permissões.
Ao lê-lo, isso significa que alguém (ou algo) tem (teve) acesso à minha máquina. Aparentemente não tem acesso root (ainda), mas ainda assim, o suficiente para gravar arquivos no meu diretório /tmp no mínimo.
Alguém tem alguma indicação de onde eu poderia procurar mais informações: quem poderia ter feito isso e como poderia ter feito isso?
Meu roteador está configurado para permitir o acesso ao encaminhamento de tráfego para SSH, HTTP (nginx atuando como proxy reverso para um dos vários outros serviços), SMTP, POP (postfix) e IMAP (dovecot) e também a porta 51413 (Transmission) .
Tags ssh security linux ubuntu-10.04