Strange ssh login

Navegue suas respostas
1

Estou executando o servidor debian e recebi um e-mail estranho sobre o login do ssh Ele diz que o e-mail do usuário efetuou login usando ssh do endereço remoto: 

Environment info:
USER=mail
SSH_CLIENT=92.46.127.173 40814 22
MAIL=/var/mail/mail
HOME=/var/mail
SSH_TTY=/dev/pts/7
LOGNAME=mail
TERM=xterm
PATH=/usr/local/bin:/usr/bin:/bin:/usr/bin/X11:/usr/games
LANG=en_US.UTF-8
SHELL=/bin/sh
KRB5CCNAME=FILE:/tmp/krb5cc_8
PWD=/var/mail
SSH_CONNECTION=92.46.127.173 40814 my-ip-here 22

Eu olhei em / etc / shadow e descobri que a senha para não está definida 

mail:*:15316:0:99999:7:::

Eu encontrei estas linhas para login no auth.log 

n  3 02:57:09 gw sshd[2090]: pam_winbind(sshd:auth): getting password (0x00000388)
Jun  3 02:57:09 gw sshd[2090]: pam_winbind(sshd:auth): pam_get_item returned a password
Jun  3 02:57:09 gw sshd[2091]: pam_winbind(sshd:auth): user 'mail' granted access
Jun  3 02:57:09 gw sshd[2091]: Accepted password for mail from 92.46.127.173 port 45194 ssh2
Jun  3 02:57:09 gw sshd[2091]: pam_unix(sshd:session): session opened for user mail by (uid=0)
Jun  3 02:57:10 gw CRON[2051]: pam_unix(cron:session): session closed for user root

e muitas falhas de autenticação para esse usuário. Não há linhas com string de comando para este usuário.

Nada foi encontrado com o "rkhunter" e com a inspeção do processo "ps aux", também não há conexões suspeitas com o "netstat" (como eu posso ver)

UPD esqueceu de mencionar: os logins eram relativamente curtos - 26 segundos mais longos, de acordo com o log "wtmp"

Alguém pode me dizer como é possível e o que mais deve ser feito? Agradecemos antecipadamente.

    
por Hikaru 03.06.2012 / 10:03

3 respostas

1

Então, como foi feito e por que isso foi possível: Foi ataque de força bruta habitual (e eu não protegi o sistema dele), mas havia várias condições prévias:

1) sistema associado ao anúncio

2) winbind configurado e rodando no sistema

3) Existe tal nome de usuário no linux pc e no AD, e há um shell normal em / etc / passwd (interessante, porque os usuários do sistema Debian tem / bin / sh por padrão)

4) /etc/pam.d/ssh configurado para usar a senha winbind e o servidor ssh configurado para usar o PAM (ambos configurados de tal forma por padrão)

Como resultado, qualquer usuário do domínio pode efetuar login com suas credenciais se houver usuário com o mesmo nome no linux.

    
por 05.06.2012 / 12:47
2

Primeiro, desconecte o sistema da Internet.

Parece que o invasor conseguiu obter acesso root ao sistema.

Se as senhas usadas neste sistema foram usadas em outro lugar, altere-as.

Informe seus usuários.

Reimage o sistema.

Alterar todas as senhas.

    
por 03.06.2012 / 10:47
1

Eu começaria colocando "92.46.127.173" - O que eu presumo é o endereço IP deles em /etc/hosts.deny as ALL: 92.46.127.173  - Isso vai impedi-los de voltar.

faça ps aux|grep ssh e descubra qual processo ssh é deles e, como root, killitdeadwithfire ( kill -9 {that process PID} ) - Isso encerrará a conexão atual com o shell, se ele estiver logado

Você também está executando o Samba neste servidor? Essas coisas sobre o pam_winbind parecem suspeitosamente como uma façanha.

Pode valer a pena instalar denyhosts ou Fail2Ban também, para capturar mais tentativas de força bruta.

    
por 03.06.2012 / 10:33

Tags

Top cpu% analyis Atualizar usuários em lote no Active Directory