SSH não autorizado vindo do meu servidor linux

2

Meu ISP entrou em contato comigo afirmando que ataques não autorizados estão vindo do meu servidor LAMP. Aqui está parte do log que eles anexaram:

15:26:16.821245 IP My.Ip.is.here.59987 > some.one.elses.ip.ssh: UDP, length 1
15:26:16.821248 IP My.Ip.is.here.59987 > some.one.elses.ip.ssh: UDP, length 1
15:26:16.821251 IP My.Ip.is.here.59987 > some.one.elses.ip.ssh: UDP, length 1
15:26:16.821253 IP My.Ip.is.here.59987 > some.one.elses.ip.ssh: UDP, length 1 

Como faço para investigar isso?

    
por Ra. 15.12.2010 / 17:18

4 respostas

4

Primeiro, desligue ou desconecte seu servidor da rede. Isso impedirá ataques que ainda estão em andamento. É muito provável que o seu servidor esteja comprometido. Você precisará fazer uma reinstalação completa e restaurar a partir de um backup em bom estado. Sim, isso é uma dor, mas é a única maneira infalível de garantir que você está restaurando arquivos "limpos". Antes de fazer isso, troque os discos rígidos do servidor ou tire uma foto deles. Isso permitirá que você faça algum trabalho forense para descobrir o que acontece.

Uma vez que o novo servidor está ativo, é necessário garantir que as senhas todas sejam alteradas para algo longo e complexo ou preferencialmente, apenas desabilite a senha auth e use a chave auth .

    
por 15.12.2010 / 17:23
3

Execute um netstat -anp | grep 22 e anote os PIDs listados à direita. Você pode então lsof -p PID para ver quais processos estão executando as varreduras ssh. (você também pode redirecionar essa saída para um arquivo para ter um registro de onde os scripts do intruso estão sendo executados). Mata esses processos para iniciar, mas você tem que começar o trabalho de encontrar backdoors e qualquer coisa que possa reativar esses processos de varredura ( via cron ou não). Experimente um dos utilitários de caça rootkit usuais, como o chkrootkit ou o rkhunter.

    
por 15.12.2010 / 17:26
1

Use lsof ou netstat para ver o que está conectado a essa porta em seu sistema. Use ps para encontrar a árvore do processo para ver de onde ela veio. Corrigir o (s) aplicativo (s) afetado (s).

    
por 15.12.2010 / 17:23
-3

É bem possível que programas sejam executados enquanto seu comportamento está oculto em comandos do espaço do usuário. Além disso, o invasor pode ter instalado programas e backdoors adicionais. E você não descobriu como sua máquina foi originalmente comprometida.

i.e. mesmo que você encontre a origem desse tráfego, sua máquina não estará limpa nem protegida contra comprometimentos futuros.

Mesmo supondo que você esteja sendo um pouco tímido e um verdadeiro gênio da informática capaz de rastrear os responsáveis - e daí? Você acha que é provável que você possa extraditar os responsáveis e condená-los?

Por todos os meios, trate-o como um exercício de aprendizado - mas não espere ganhar nada com isso além de um pouco de conhecimento.

Hora de começar a pensar sobre como você limpa o sistema e o coloca de volta on-line com segurança - e como você evita / detecta ataques futuros.

    
por 15.12.2010 / 18:51