O /var/log/auth.log é incompleto como um sintoma de acesso não autorizado?

2

Hoje, descobri que /var/log/auth.log tem apenas registros da semana anterior, e suspeito que eu tenha sido hackeado usando uma senha SSH insegura, e o invasor excluiu os logs de acesso para evitar a detecção.

Aqui estão as primeiras linhas no log:

Jun 26 06:44:58 server CRON[14297]: pam_unix(cron:session): session closed for user root Jun 26 06:47:01 server CRON[14484]: pam_unix(cron:session): session opened for user root by (uid=0) Jun 26 06:47:02 server CRON[14484]: pam_unix(cron:session): session closed for user root Jun 26 07:17:01 server CRON[14515]: pam_unix(cron:session): session opened for user root by (uid=0) Jun 26 07:17:01 server CRON[14515]: pam_unix(cron:session): session closed for user root Jun 26 08:17:01 server CRON[14518]: pam_unix(cron:session): session opened for user root by (uid=0) Jun 26 08:17:01 server CRON[14518]: pam_unix(cron:session): session closed for user root Jun 26 09:17:01 server CRON[14521]: pam_unix(cron:session): session opened for user root by (uid=0) Jun 26 09:17:01 server CRON[14521]: pam_unix(cron:session): session closed for user root Jun 26 10:17:01 server CRON[14524]: pam_unix(cron:session): session opened for user root by (uid=0) Jun 26 10:17:01 server CRON[14524]: pam_unix(cron:session): session closed for user root Jun 26 11:17:01 server CRON[14527]: pam_unix(cron:session): session opened for user root by (uid=0) Jun 26 11:17:01 server CRON[14527]: pam_unix(cron:session): session closed for user root Jun 26 12:17:01 server CRON[14530]: pam_unix(cron:session): session opened for user root by (uid=0) Jun 26 12:17:01 server CRON[14530]: pam_unix(cron:session): session closed for user root Jun 26 13:16:29 server login[1022]: pam_unix(login:auth): check pass; user unknown Jun 26 13:16:29 server login[1022]: pam_unix(login:auth): authentication failure; logname=LOGIN uid=0 euid=0 tty=/dev/tty1 ruser= rhost= Jun 26 13:16:32 server login[1022]: FAILED LOGIN (1) on '/dev/tty1' FOR 'UNKNOWN', Authentication failure Jun 26 13:17:01 server CRON[14533]: pam_unix(cron:session): session opened for user root by (uid=0) Jun 26 13:17:01 server CRON[14533]: pam_unix(cron:session): session closed for user root Jun 26 13:17:09 server login[1022]: pam_unix(login:auth): authentication failure; logname=LOGIN uid=0 euid=0 tty=/dev/tty1 ruser= rhost= user=root Jun 26 13:17:13 server login[1022]: FAILED LOGIN (2) on '/dev/tty1' FOR 'root', Authentication failure Jun 26 13:17:18 server login[1022]: FAILED LOGIN (3) on '/dev/tty1' FOR 'root', Authentication failure Jun 26 13:17:23 server login[1022]: pam_unix(login:auth): authentication failure; logname=LOGIN uid=0 euid=0 tty=/dev/tty1 ruser= rhost= user=vagrant Jun 26 13:17:34 server login[14536]: pam_unix(login:auth): authentication failure; logname=LOGIN uid=0 euid=0 tty=/dev/tty1 ruser= rhost= user=vagrant Jun 26 13:17:36 server login[14536]: FAILED LOGIN (1) on '/dev/tty1' FOR 'vagrant', Authentication failure

Isso é normal? Isso deve estar completo?

    
por IAmJulianAcosta 02.07.2016 / 06:19

1 resposta

1

A resposta à sua pergunta depende da rotação de log que você configurou. Por padrão o Ubuntu está configurado para rodar os arquivos de log, então você deve ver arquivos parecidos com os seguintes em / var / log

auth.log
auth.log.1
auth.log.2.gz
auth.log.3.gz
auth.log.4.gz

O primeiro arquivo (auth.log) é o log atual, com auth.log.1 sendo as entradas mais antigas e auth.log.2.gz sendo entradas mais antigas compactadas com gz. Quanto maior o número, mais no passado as entradas de log são.

Você pode verificar suas configurações de rotação de log visualizando /etc/logrotate.d/rsyslog, que no Ubuntu 14.04 contém uma seção como esta:

/var/log/mail.info
...
/var/log/kern.log
/var/log/auth.log
/var/log/user.log
...
/var/log/messages
{
        rotate 4
        weekly
        missingok
        notifempty
        compress
        delaycompress
        sharedscripts
        postrotate
                reload rsyslog >/dev/null 2>&1 || true
        endscript
}

Quando a primeira linha indica que 4 versões antigas devem ser mantidas, e a próxima configura-as para serem rotacionadas semanalmente.

Se a sua rotação de log for a mesma, você pode esperar que o arquivo auth.log seja rotacionado (renomeado para auth.log.1) toda semana. Dê uma olhada no log auth.log.1 e certifique-se de que as entradas mais recentes sigam as entradas mais antigas em auth.log. Se este for o caso, você parece ter um log contínuo e as coisas estão operando de uma maneira "normal" (com logs sendo rotacionados como esperado).

Com relação à segurança dos logs, a data de modificação dos arquivos de log não deve ser mais recente que a entrada de log mais recente nesse arquivo ou a data em que foi compactada. Se você ver que os registros de semanas ou meses foram modificados nos últimos dias, isso é um sinal de aviso.

Principalmente, o conteúdo dos logs faz sentido? Os horários de login correspondem aos usados pelos administradores ou outros usuários que têm acesso? Para alguém com o login de raiz desativado, seus registros seriam bastante problemáticos, mas essa atividade pode ser normal para o sistema.

Nota: Ter entradas de log "contínuas" de auth.log para auth.log.1 (e assim por diante) não significa que seu servidor é seguro. O invasor provavelmente removeria apenas as entradas relacionadas às suas atividades - não removesse uma grande seção que tornasse óbvia sua invasão. Se você tiver preocupações sobre segurança, verifique os rootkits e outros softwares mal-intencionados e atividades incomuns.

    
por 13.04.2017 / 18:41