Conexões ssh desconhecidas encontradas em lsof -i meu servidor foi comprometido?

Navegue suas respostas
2

Eu tenho uma gota do Oceano Digital rodando o Ubuntu 14.04. Eu o uso para executar testes rápidos de node.js em um servidor publicamente disponível. Eu fiz o login via SSH e fiz $ lsof -i para ver quais portas eu estava usando. No final da lista, notei: 

sshd    30952 root    3u  IPv4 66978103      0t0  TCP xxx.xxx.xxx.xxx:ssh->120.52.72.81:7810 (ESTABLISHED)
sshd    30953 sshd    3u  IPv4 66978103      0t0  TCP xxx.xxx.xxx.xxx:ssh->120.52.72.81:7810 (ESTABLISHED)

Eu não esperava essas conexões ssh (só deveria ser eu!) então eu procurei o endereço IP e parece estar na China. Então, o que devo fazer agora para verificar se essas conexões ssh são mal-intencionadas e, em caso afirmativo, o que elas podem ter feito no servidor. Eu prefiro não atacar, mas se for comprometida (já que eles têm acesso root, eu presumo que tenha!) Então talvez seja a coisa mais simples a se fazer.

Atualização : Desde que escrevi o texto acima, tenho duas conexões SSH diferentes, então presumo que esteja realmente comprometido. 

sshd    31009 root    3u  IPv4 66979206      0t0  TCP xxx.xxx.xxx.xxx:ssh->221.194.44.218:50829 (ESTABLISHED)
sshd    31010 sshd    3u  IPv4 66979206      0t0  TCP xxx.xxx.xxx.xxx:ssh->221.194.44.218:50829 (ESTABLISHED)

Se alguém puder sugerir uma abordagem sensata para verificar um compromisso / limpar isso / ver o que aconteceu, seria ótimo para me ajudar a aprender (eu sou tão n00b!).

Atualização 2 : parece que isso não é um sinal de comprometimento, mas sim os sinais de tentativas de login de força bruta - veja os comentários de @ bodgit e @ ultrajohn abaixo.

    
por James 25.07.2016 / 16:54

1 resposta

2

Não, isso não é evidência de um compromisso.

Qualquer servidor na Internet pode esperar tentativas regulares de brute SSH e outros tipos de logins. Esses tipos de ataques são automatizados e não segmentados. Normalmente, o objetivo do ataque é instalar um bot que possa ser usado para enviar spam ou iniciar mais ataques. Os ataques geralmente são baseados em dicionários.

Obviamente, se algum invasor tentar usar um nome de usuário e senha aleatórios, eles começarão estabelecendo uma conexão com seu servidor SSH. Isso é o que você está vendo no lsof (e também veria no netstat).

Se você quiser verificar o comprometimento, observe o wtmp (digite quem) e observe os logs do sistema. Auditoria de registros no syslog (como "sessão aberta para usuário james") irá lançar alguma luz.

Você também pode procurar usuários que não reconhece e inspecionar o tráfego e as conexões (o comando netstat -nvlp pode ser útil) para verificar se o servidor está executando processos inesperados que estão fazendo coisas como enviar email ou originar conexões com outras serviços.

    
por 30.07.2016 / 20:37

Tags

Rotacionando um subconjunto de logs com o Logrotate O FOG e / ou o WDS podem fazer multicast em um Gigabit Switch não gerenciado comum? ou precisa de hardware com recursos específicos de multicast?