Como detectar se o sistema está executando um ataque ssh não autorizado

1

Recebi uma reclamação de que meu sistema estava fazendo uma tentativa inválida de ssh. Eu fiz minha investigação e não encontrei nada relacionado a entradas de log. Mas uma coisa que me surpreendeu que executar o comando

rpm -qa|xargs rpm -V|grep ^S

listado / usr / sbin / suexec como S .5....T /usr/sbin/suexec

Isso indica que o meu sistema ou o Apache ficam comprometidos. Por favor me guie, pois descobri que atualmente não há tráfego ssh de saída, mas os logs no sistema de vítimas indicam que houve no passado.

    
por vnix27 08.06.2011 / 15:16

1 resposta

2

Um RPM Verifica incompatibilidade de checksum (o que você descreve acima) é certamente suspeito. Combinado com os logs do servidor "vítima", mostrando que sua máquina tem feito algo desagradável, fico com três possibilidades:

  1. Um de seus usuários está sendo um incômodo.
    Solução: encontre o usuário, revogue a conta e faça uma visita a eles e os surpreenda.

  2. Algum programa auxiliar foi comprometido (por exemplo, código CGI / PHP no seu servidor web) e está permitindo que invasores externos executem código arbitrário.
    Solução: Revise seu Apache e / ou logs de script para ver se algo está acontecendo. Feche o buraco.

  3. Sua caixa foi enraizada (e um backdoor que o suexec instalou).
    Solução: Visite esta questão e vários outros que falam sobre procedimentos post-mortem. Reconstrua a máquina.

Se você não consegue explicar por que a soma de verificação do suexec não corresponde ao que o RPM acha que deveria ser, a paranoia dita limpar a máquina e reinstalar a partir de um conjunto de mídias de instalação. Isso é especialmente verdadeiro se sua soma de verificação de RPM "sempre foi correspondida antes" ...

Note que não é necessário que sua máquina tenha sido enraizada para que alguém possa lançar ataques SSH a partir dela (a execução do binário ssh client não requer nenhum privilégio especial além de poder abrir uma rede socket e conversa com um host remoto na porta 22 - A maioria das máquinas permite isso). Como resultado, os seus logs podem não mostrar nada, especialmente se o atacante tiver acesso, ficar em suas mãos por um tempo (até que a evidência de sua violação tenha sido rotacionada) e começou a lançar ataques da sua caixa.

Os registros de tráfego de rede (dados de fluxo líquido, etc.) podem mostrar padrões de tráfego "incomuns" - por exemplo, um grande número de "fluxos", "conexões" ou uma alta taxa de pacotes por segundo com tráfego relativamente baixo (bits por segundo), mas você precisaria de um monitor externo confiável (roteador / firewall, seu ISP, etc. .) para fornecer os dados para que seja forense útil.

    
por 08.06.2011 / 16:38

Tags