Отправляет email-рассылки с помощью сервиса Sendsay

Linux: разрешение вопросов, перспективы и общение

Подписаться Бесплатный дискуссионный лист Подписчиков 998
  Май 2005  
 1
 2
 3
 4
 5
 6
 7
 8
 9
09.05.2005
18:17:06
23:35:47
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31


За последние 60 дней ни разу не выходила


Сайт листа: http://www.linuxrsp.ru
Открыт: 25-07-2003
Пре-модерация: Нет
Адрес для писем в лист: comp.soft.linux.discuss-list@subscribe.ru
Адрес модератора: comp.soft.linux.discuss-owner@subscribe.ru

Модератор
Фёдор Сорекс

Статистика

998 подписчиков
0 за неделю

Что это?

Привет всем!
Ниже представлена часть файла auth.log

May 9 22:07:10 mail sshd[25050]: Did not receive identification string from
218.149.129.227
May 9 23:35:53 mail sshd[27896]: Could not reverse map address 218.149.129.227.
May 9 23:35:58 mail sshd[27898]: Could not reverse map address 218.149.129.227.
May 9 23:36:02 mail sshd[27905]: Could not reverse map address 218.149.129.227.
May 9 23:36:05 mail sshd[27907]: Could not reverse map address 218.149.129.227.
...........
...........
May 9 23:37:26 mail PAM_unix[27958]: authentication failure; (uid=0) -> **unknown**
for ssh service
May 9 23:37:28 mail sshd[27958]: Failed password for backup from 218.149.129.227
port 35053 ssh2
May 9 23:37:33 mail sshd[27960]: Could not reverse map address 218.149.129.227.
May 9 23:37:36 mail sshd[27962]: Could not reverse map address 218.149.129.227.
May 9 23:37:40 mail sshd[27964]: Could not reverse map address 218.149.129.227.
May 9 23:37:43 mail sshd[27966]: Could not reverse map address 218.149.129.227.
May 9 23:37:43 mail PAM_unix[27966]: authentication failure; (uid=0) -> **unknown**
for ssh service
May 9 23:37:45 mail sshd[27966]: Failed password for mysql from 218.149.129.227
port 37861 ssh2
May 9 23:37:49 mail sshd[27968]: Could not reverse map address 218.149.129.227.
.....................
.....................
May 9 23:41:24 mail PAM_unix[28750]: authentication failure; (uid=0) -> **unknown**
for ssh service
May 9 23:41:26 mail sshd[28750]: Failed password for andrew from 218.149.129.227
port 33506 ssh2
May 9 23:41:29 mail sshd[28752]: Could not reverse map address 218.149.129.227.
May 9 23:41:35 mail sshd[28754]: Could not reverse map address 218.149.129.227.
.....................
.....................
May 10 00:11:03 mail sshd[29838]: Did not receive identification string from
66.179.176.16
May 10 00:20:12 mail PAM_unix[29943]: authentication failure; (uid=0) -> **unknown**
for ssh service
May 10 00:20:14 mail sshd[29943]: Failed password for root from 66.179.176.16
port 56499 ssh2
May 10 00:20:15 mail PAM_unix[29947]: authentication failure; (uid=0) -> **unknown**
for ssh service
................
................
May 10 04:42:06 mail sshd[6124]: Did not receive identification string from 211.251.96.250
May 10 04:58:18 mail sshd[6313]: Could not reverse map address 211.251.96.250.
May 10 04:58:23 mail sshd[6315]: Could not reverse map address 211.251.96.250.
...............
...............
May 10 04:58:39 mail sshd[6333]: Could not reverse map address 211.251.96.250.
May 10 06:25:05 mail su[9286]: + ??? root-nobody
May 10 06:25:05 mail PAM_unix[9286]: (su) session opened for user nobody by (uid=0)

Подобное повторяется достаточно часто с разных адресов.
Хотелось бы узнать что это и чем это грозит?

Спасибо.

Ответить   Anton Mon, 16 May 2005 17:17:38 +0400 (#368463)

 

Ответы:

День добрый...

Anton пишет:

Ломали, ломали твою машинку

211.251.96.250

(uid=0)
и сломали... :-( открыта сеccия суперпользователя для пользователя
nobody.. вероятнее всего ч/з mysql взломали (у меня был печальный опыт..
:-( )
Посмотри нет ли лишних запущенных демонов в системе? могли поставить
root-kit..

Что имменно повторяется? открытие сессии? или попытки авторизироваться
по протоколу ssh?

Чем может грозить полный контроль над твоим почтовиком (если я правильно
понял твой лог в котором имя машинки mail)?

Если ты сам админишь этот почтовик и только с одной машинки, то закрой
доступ на порт 22 для других машинок, особенно из вне (мало вероятно,
что ты будешь настраивать его удаленно) на фарволе (если он утебя есть)
либо на самом почтовике iptables... а лучше там и там (я у себя так и
делаю). еще лучще сделать проверку по ип и мак-адресам, т.е. если ты
выходишь в ДМЗ-зону ч/з шлюз/проксик из локальной сетки, то разреши вход
на почтовике только с ипишки шлюза/проксика с определенным
мак-адрессом... а так же запрети соединение из вне по всем портам, кроме
53, 25, 110, ping и traceroute и 80(если у тебя на этой же машинке
крутится веб) и разреши естаблиш соединение...

В добавок укажи в настройках sshd использование протокола ssh2 и
обязательно требовать пароль при авторизации (ИМХО), хотя многи могут со
мной поспорить мол по ключам авторизироваться гораздо надежнее...

Запусти и настрой tripwire - хорошая штучка, создает базу всех файлов, а
потом отслеживает все изменнения в твоей ситеме, но она будет эффиктивна
когда ты создашь базу на новой машинке, т.е. если ты уверен, что тебе не
поставили трояна, то инициализируй базу...

ЗЫ. ИМХО применять принцип что не разрешено, то запрещено...
ЗЫЫ. Найди книжку "Максимальная защита Linux/ Искусство настройки",
второе издание (наверно уже есть более свежее) SAMS издательство DiaSpft
2002г Неплохая книжка..

Ответить   Little KING Tue, 17 May 2005 02:59:35 +0000 (#368764)

 

Hello Little,

Tuesday, May 17, 2005, 6:59:35 AM, you wrote:

никаких процессов от nobody не должно быть?

как узнать какие лишние?

как это проверить?

И то и другое

Админю я сам, опыта совсем никакого в Linux нет, сервер достался в
наследство. Работал он себе и работал пока нам ни стали делать сайт,
поставили и mysql в том числе. Webmaster работает удалённо, так что
снаружи закрыться на представляется возможным.

Что имеется ввиду под фарволом, ipchains?

тёмный лес... :(

Нужно, искать литературу...

Спасибо за ответ.

Ответить   Anton Tue, 17 May 2005 13:29:12 +0400 (#368952)

 

при грамотном использовании хорошего руткита процессы не засветятся

аналогично предыдущему. а лишние == которые ты не запускал и не знаешь, зачем
они вообще тут крутятся :)

программы chkrootkit, rkhunter

Ответить  
Tosha
Tue, 17 May 2005 18:48:57 +0400 (#369024)

 

Hello Tosha,

Tuesday, May 17, 2005, 6:48:57 PM, you wrote:

Что из этого может быть подозрительным?
1 ? 00:00:06 init
2 ? 00:00:00 kflushd
3 ? 00:00:02 kupdate
4 ? 00:00:00 kswapd
5 ? 00:00:00 keventd
221 ? 00:00:23 syslogd
234 ? 00:00:00 klogd
239 ? 00:00:10 named
242 ? 00:00:00 httpd
259 ? 00:00:00 gpm
264 ? 00:00:03 inetd
414 ? 00:00:00 mysqld_safe
450 ? 00:00:01 mysqld
452 ? 00:00:00 sshd
488 ? 00:00:00 atd
491 ? 00:00:00 cron
494 tty1 00:00:00 getty
495 tty2 00:00:00 getty
496 tty3 00:00:00 getty
497 tty4 00:00:00 getty
498 tty5 00:00:00 getty
499 tty6 00:00:00 getty
1061 ? 00:00:00 httpd
27838 ? 00:00:00 pinger
17555 ? 00:00:00 sockd
18041 ? 00:00:00 sshd

Спасибо.

Ответить   Anton Tue, 17 May 2005 16:51:47 +0400 (#369084)

 

-- впервые вижу, не знаю что такое :)

не уверен, но по-моему когда-то слышал, что есть такой сканер -- уже интересно
;)

а вот это вообще интересно. Два варианта: скорее всего, этот демон открыл сокет
для какого-то руткита и ждет на нем атакуещего. Либо, что не лучше -- это socks-proxy
(хотя в этом случае процесс бы назывался socksd, наверное). Что опять же в результате
дает то же самое -- кто-то has you.
Хочется ещё раз напомнить, что ни один уважающий себя руткит не засветится
в процессах, и перехватив вывод ps'а, заменит его на свой. Посему ещё раз рекомендую
-- проверьтесь rkhunter или chkrootkit.
Не исключаю, что у страха глаза велики, и я зря вас пугаю -- ибо не знаю, чем
на самом деле должен заниматься ваш сервер:). Но в любом случае -- уж больно
логи нехорошие. Хотя недоумеваю, почему атакующий не воспользовался лог-клинером?

Ответить  
Tosha
Tue, 17 May 2005 23:25:31 +0400 (#369170)

 

On Tue, 17 May 2005 23:25:31 +0400
Tosha <tos***@m*****.org> wrote:

Ну, это вы зря.. Обычный at демон, типа cron, только для юзеров. man, в общем.

Ответить   Matvey Tue, 17 May 2005 23:39:36 +0300 (#369335)

 

Anton пишет:

зачем

1. Поменяй пароль у root и что бы символов было по больше.. минимум 8, а
лучше 10-13 и с разными регистрами, цифрами и знакми.
2. Создай в системе пользователя, например webmast и назначь ему
домашний каталог тот где у тебя лежит твои странички, так же всем файлам
назанчь этого овнера и скажи что бы логинился этим пользователем, т.к.
рутовый пароль ему вряд ли нужен.
3. Узнай у Вебмастера его ИП-адресс.
4. Если есть возможность, то поставь iptables и задай правила как я
описывал с учетом разрешить соединение по порту 22 (для работы ssh) с
ИП-адреса Вебмастера. Так же скажи ему, что бы он использовал пакет
программ PuTty, если он под виндами, там есть возможность копирования
файлов по ssh (pscp или psftp).
5. Есть ли возможность отказаться от mysql? Если нет, то в любом случае
закройте доступ к mysql (порт 3306, если не изменяет память) из вне и
скажи своем вебмастеру, что бы он писал сайт, так что бы запросы sql
были только на этот сервере.
6. Откажись от inetd и запусти xinetd более надежнее (ставь последнюю
версию), а лучше вообще откажить. Эти демоны отвечают за сетевые сервисы
(echo, finger server, time, ftp, pop, smtp, swat и т.д. ). Они тебе нужны?
7. Можешь смело отказаться от gpm и atd. Первый демон мышь для консоли,
вотрой это еще один cron.
8. У тебя на этой машинке запушен DNS (named) он тебе нужен? ты держишь
там свою зону? или он только для локальной сети? Лучше конечно обновить
его. Если он только для локально сетки, то закрой к нему доступ из вне.
9. Запусти pstree -c -p Покажет процессы ввиде дерева, поможет узнать
кто-что запустил. В частности узнай какой демон запустил pinger и sockd.
10. Попробуй отключить загрузку mysql, и посмотри какие демоны будут
запущены.
11. Что-то я не наблюдаю почтового демона? Для каких целей вообще
используется этот комп?
12. Когда будешь экперементироваьт, то отключись от внешней сети, что бы
пароли ни куда не ушли.
13. Уже советовали проверить на роот-киты..

Удачи..

Ответить   Little KING Wed, 18 May 2005 03:21:55 +0000 (#369415)

 

Hello Little,

Пароль больше 15 с разными регистрами, менял недавно

у него есть своё имя пользователя

Заходит с Dial-Up, адрес всё время разный

Попробую это сделать

Он для локальной сети

|-inetd(198)-+-exim(3552)
| `-sockd(730)
.......................................
.......................................
|-named(174)
|-squid(380)---squid(382)-+-dnsserver(400)
| |-dnsserver(401)
| |-dnsserver(402)
| |-dnsserver(403)
| |-dnsserver(404)
| |-pinger(428)
| `-squid(383)-+-squid(384)
| |-squid(385)
| |-squid(386)
| |-squid(387)
| |-squid(388)
| |-squid(389)
| |-squid(390)
| |-squid(391)
| |-squid(392)
| |-squid(393)
| |-squid(394)
| |-squid(395)
| |-squid(396)
| |-squid(397)
| |-squid(398)
| `-squid(399)

Я удалил те строки, назначение которых знал
Это почтовый и интернет сервер, а также прокси и локалки

Понял

rkhunter или chkrootkit - такие не нашлись

Постараюсь выполнить все рекомендации

Спасибо.

Ответить   Anton Wed, 18 May 2005 17:22:53 +0400 (#369685)

 

Привет всем,
Еще раз проанализировал auth.log и вот выявил какую закономерность:
May 9 06:25:06 mail su[2266]: + ??? root-nobody
May 9 06:25:06 mail PAM_unix[2266]: (su) session opened for user nobody by (uid=0)
May 10 06:25:05 mail su[9286]: + ??? root-nobody
May 10 06:25:05 mail PAM_unix[9286]: (su) session opened for user nobody by (uid=0)
May 11 06:25:06 mail su[390]: + ??? root-nobody
May 11 06:25:06 mail PAM_unix[390]: (su) session opened for user nobody by (uid=0)
May 12 06:25:06 mail su[22226]: + ??? root-nobody
May 12 06:25:06 mail PAM_unix[22226]: (su) session opened for user nobody by
(uid=0)
May 13 06:25:06 mail su[32306]: + ??? root-nobody
May 13 06:25:06 mail PAM_unix[32306]: (su) session opened for user nobody by
(uid=0)
May 14 06:25:06 mail su[12554]: + ??? root-nobody
May 14 06:25:06 mail PAM_unix[12554]: (su) session opened for user nobody by
(uid=0)
May 15 06:25:09 mail su[27630]: + ??? root-nobody
May 15 06:25:09 mail PAM_unix[27630]: (su) session opened for user nobody by
(uid=0)
May 16 06:25:06 mail su[377]: + ??? root-nobody
May 16 06:25:06 mail PAM_unix[377]: (su) session opened for user nobody by (uid=0)
May 17 06:25:07 mail su[27030]: + ??? root-nobody
May 17 06:25:07 mail PAM_unix[27030]: (su) session opened for user nobody by
(uid=0)

Т.е. это происходит каждый день один раз в 06:25. Что же это может
быть? Может это делать cron или atd? Где посмотреть задания, которые
они выполняют?

Спасибо.

Ответить   Anton Thu, 19 May 2005 19:13:06 +0400 (#370259)

 

Anton пишет:

(uid=0)

(uid=0)

Во-первых все протоколируется в логах, если ты их не затираешь смотри в
/var/log/ все что делает крон он записывает в лог cron.
Во-вторых все задания лежат в каталоге /var/spool/cron для крона и
/var/spool/at для at.

и наконец читайте маны, там много что интересного найдете.. :-)
и по формат задания крона, куда он протоколирует, когда шлет отчет руту,
когда нет, как забрать эту почту простому пользователю и т.д.

ЗЫ. Можно так же все логи протоколирвать на удаленную машинку, тогда
злоумышленнику придется ломать две машины для затирания логов...
(man syslog.conf man syslog)

Ответить   Little KING Fri, 20 May 2005 03:13:27 +0000 (#370466)

 

On Tue, 17 May 2005 18:48:57 +0400
Tosha <tos***@m*****.org> wrote:

Во-во, и netstat ничего не покажет, буде порты какие левые открыты...

Ответить   Matvey Tue, 17 May 2005 17:31:03 +0300 (#369139)

 

Спросил бы ты Webmaster-а, с какими правами и с какого IP он работает,
сдается мне что 218.149.129.227 - это его IP и работает он с рутовыми
правами.

Ответить   Aleck Novikov Tue, 17 May 2005 21:11:09 +0400 (#369226)