Subnets.ru

[borin]

Добрый день!

Имеется сервер с freebsd выполняющий роль NAS (mpd5), в последние 2 дня на почту сыпятся странные логи, как будто кто то от мой учетной записи пытается su набрать:

Код: Выделить всё

nas01 login failures:
Feb  3 02:50:20 nas01 su: BAD SU borin to root on /dev/pts/1
Feb  3 02:52:38 nas01 su: BAD SU borin to root on /dev/pts/0
Feb  3 18:20:16 nas01 su: BAD SU borin to root on /dev/pts/0

Код: Выделить всё

nas01 login failures:
Feb  4 23:29:04 nas01 su: BAD SU borin to root on /dev/pts/1
Feb  4 23:42:19 nas01 su: BAD SU borin to root on /dev/pts/1

Хотя в логах все чисто:

Код: Выделить всё

Feb  3 14:01:57 nas01 sshd[80146]: Accepted keyboard-interactive/pam for borin from 192.168.10.54 port 59278 ssh2
Feb  3 14:02:03 nas01 su: borin to root on /dev/pts/0
Feb  3 14:07:05 nas01 su: borin to root on /dev/pts/0
Feb  4 15:07:36 nas01 sshd[91636]: Accepted keyboard-interactive/pam for borin from 192.168.10.61 port 1287 ssh2
Feb  4 15:07:47 nas01 su: borin to root on /dev/pts/0
Feb  5 11:57:22 nas01 sshd[1163]: Accepted keyboard-interactive/pam for borin from 192.168.10.41 port 63490 ssh2
Feb  5 11:57:52 nas01 su: borin to root on /dev/pts/0
Feb  5 11:58:23 nas01 su: borin to root on /dev/pts/0
Feb  5 12:05:04 nas01 su: borin to root on /dev/pts/0


Что это может быть?

[Андрей]

Что это может быть?

Или pam решил покончить жизнь самоубийством или там реально кто-то живет. смотрите при помощи

Код: Выделить всё

who

кто есть на сервере, ищи можно через

Код: Выделить всё

netstat -na

посмотреть кто по ssh влез.
Я могу сказать, что это не вирус, который пытается получить привелегию рута, хотя если сервер ранее был атакован и вскрыт, то надо искать вероятный скрипт, который будет перебирать возможные комбинации паролей для su. Хоть это и параноя, но один из постулатов криптографии гласит, что если пароль знает хоть один человек - пароль не является безопасным.

От себя могу порекомендовать такую вещь:
1. Делаем пароль на рута (не важно при установке ОС или после нее)
2. Заводим пользователя в группу wheel (условно administrator) + пароль
3. Заводим учетную запись MyUser не из wheel + пароль.
Далее такой алгоритм авторизации:

1 login: MyUser > Password: ****
2. su administrator > ****
3 su > ****
вот так через 2 пользователя можно авторизоваться на сервере, но(!) обязательно надо отключить дефолтную авторизацию под administrator.

Но из основы-основ:
1. Запрет доступа any to self on port 22 и указывание только доверенной подсети или хоста
2. Перенести, собственно, порт ssh на какой-то другой типа 2222 или 60000 или любой другой
3. Логин должен быть "чем-то типа пароля", не надо использовать admin - под ними и вскрывают, при бруте. Надо использовать некие длинные имена пользователя, берем немецко-русский словарь и..

Как говорится и тут Остапа понесло. Может кому и пригодится то, что написал, если бред - ткните носом. Конкретно по топику я отписал.

[borin]

Все чисто, буду искать дальше

Код: Выделить всё

root@nas01[/var/log]# netstat -na
Active Internet connections (including servers)
Proto Recv-Q Send-Q  Local Address          Foreign Address       (state)
tcp4       0     52 172.20.20.6.22         192.168.10.54.49583    ESTABLISHED
tcp4       0      0 127.0.0.1.8080         *.*                    LISTEN
tcp4       0      0 127.0.0.1.5005         *.*                    LISTEN
tcp4       0      0 *.22                   *.*                    LISTEN
tcp4       0      0 *.80                   *.*                    LISTEN
tcp4       0      0 *.443                  *.*                    LISTEN
tcp4       0      0 *.199                  *.*                    LISTEN
tcp4       0      0 127.0.0.1.953          *.*                    LISTEN
tcp4       0      0 127.0.0.1.53           *.*                    LISTEN
udp4       0      0 172.20.20.6.18569      172.20.20.5.1001
udp4       0      0 *.3799                 *.*
udp4       0      0 *.161                  *.*
udp4       0      0 127.0.0.1.53           *.*
udp4       0      0 *.514                  *.*
Netgraph sockets
Type  Recv-Q Send-Q Node Address   #Hooks
ctrl       0      0 mpd80595-stats    0
ctrl       0      0 [1b5c]:           1
ctrl       0      0 [1b5a]:           1
ctrl       0      0 [1b58]:           1
ctrl       0      0 [1b56]:           1
ctrl       0      0 [1b54]:           1
ctrl       0      0 [1b53]:           1
ctrl       0      0 [1b52]:           1
ctrl       0      0 [1b51]:           1
ctrl       0      0 [1b50]:           1
ctrl       0      0 [1b4f]:           1
ctrl       0      0 mpd80595-eso:     0
ctrl       0      0 mpd80595-cso:     0
ctrl       0      0 mpd80595-lso:     4
data       0      0 [1b5c]:           1
data       0      0 [1b5a]:           1
data       0      0 [1b58]:           1
data       0      0 [1b56]:           1
data       0      0 [1b54]:           1
data       0      0 [1b53]:           1
data       0      0 [1b52]:           1
data       0      0 [1b51]:           1
data       0      0 [1b50]:           1
data       0      0 [1b4f]:           1
data       0      0 mpd80595-eso:     0
data       0      0 mpd80595-cso:     0
data       0      0 mpd80595-lso:     4
Active UNIX domain sockets
Address  Type   Recv-Q Send-Q    Inode     Conn     Refs  Nextref Addr
ffffff01314235a0 stream      0      0        0 ffffff00353645a0        0        0
ffffff00353645a0 stream      0      0        0 ffffff01314235a0        0        0
ffffff0004de5690 stream      0      0        0 ffffff0004de5780        0        0
ffffff0004de5780 stream      0      0        0 ffffff0004de5690        0        0
ffffff00350ed1e0 stream      0      0 ffffff00355c13b0        0        0        0 /var/agentx/master
ffffff00350ed3c0 stream      0      0 ffffff0004e07938        0        0        0 /var/run/devd.pipe
ffffff00350ed690 stream      0      0        0 ffffff00350ed780        0        0
ffffff00350ed780 stream      0      0        0 ffffff00350ed690        0        0
ffffff00350ed4b0 dgram       0      0        0 ffffff0004de5b40        0 ffffff0035a6e780
ffffff0035a6e780 dgram       0      0        0 ffffff0004de5b40        0 ffffff00350ed000
ffffff00350ed000 dgram       0      0        0 ffffff0004de5b40        0        0
ffffff0004de5960 dgram       0      0 ffffff0035148b10        0        0        0 /var/named/var/run/log
ffffff0004de5a50 dgram       0      0 ffffff0035148ce8        0        0        0 /var/run/log
ffffff0004de5b40 dgram       0      0 ffffff00350d6000        0 ffffff00350ed4b0        0 /var/run/logpriv
ffffff0004de5c30 dgram       0      0 ffffff00350d61d8        0        0        0 /var/run/log
root@nas01[/var/log]# who
borin            pts/0    Feb  6 09:49 (192.168.10.54)


[borin]

Кстати да сегодня вот еще прилетело:

Код: Выделить всё

nas01 login failures:
Feb  5 16:20:50 nas01 su: BAD SU borin to root on /dev/pts/0
Feb  5 17:00:31 nas01 su: BAD SU borin to root on /dev/pts/1
Feb  5 12:20:35 nas01 su: BAD SU borin to root on /dev/pts/0

При том что в 12:20:35 это я специально ошибся чтоб проверить, и заодно сразу сменил все пароли.

Код: Выделить всё

Feb  5 12:20:35 nas01 su: BAD SU borin to root on /dev/pts/0


[borin]

хааа барабашка найден, спасибо за помощь
в файле auth.log присутствуют записи о BAD su 2011 года, и скрипт /etc/periodic/security/800.loginfail находит эти записи и каждый день высылает мне на мыло