Eu tenho vários hosts rodando o CentOS 5.11 na LAN. Ultimamente temos recebido alertas de sudo razoavelmente regulares (via e-mail) de tentativas de comandos sudo por usuários não autorizados. Estive pesquisando no Google caso os comandos tentados sejam hacks conhecidos ou "ferramentas" conhecidas que possam acioná-los.
O padrão é bastante regular, geralmente cerca de duas vezes por hora, alertado de um número de hosts - muito improvável que um ser humano, assim.
Os alertas em si são sempre um destes dois:
myhost01: 29 de outubro 17:50:41: tzx: usuário NÃO em sudoers; TTY = pts / 0; PWD = / home / tzx; USER = root; COMANDO = lsof -nP + c0 -i4TCP
ou
myhost02: 29 de outubro 18:16:39: tzx: usuário NÃO em sudoers; TTY = pts / 0; PWD = / home / tzx; USER = root; COMANDO = parted -l
em que user "tzx" é um usuário válido do Linux - normalmente usado para executar serviços do sistema ou tarefas agendadas, mas também permitido para login SSH (para impedir que uma das funções seja executada como root). Eu usei "last" em um ou dois dos hosts afetados e vejo sessões do shell do usuário tzx, com menos de um minuto cada, correspondendo aproximadamente aos alertas que recebemos. E todas essas sessões parecem vir do mesmo host de origem na LAN (que eu também estou pesquisando).
Alguém viu esse tipo de tráfego? Quaisquer ferramentas conhecidas, hacks / sondas ou outras "coisas" que tendem a tentar isso?
Metade de mim acha que eu tenho algum usuário com alguma ferramenta barulhenta (e intrometida) de algum tipo e a outra metade acha que isso é um problema mais sério.
RESOLVIDO: um dos administradores instalou o Spiceworks na LAN, com acesso a essa conta de usuário, e o Spiceworks estava tentando executar esses comandos alertados para realizar suas tarefas de monitoramento. Isso é um grande alívio - aparentemente nenhum tráfego malicioso neste mesmo. Aqui agora para a posteridade.