The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

форумы  правила/FAQ  поиск  регистрация  вход/выход  слежка  RSS
"Взломали сервер"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Открытые системы на сервере (Др. сетевые сервисы / Другая система)
Изначальное сообщение [ Отслеживать ]

"Взломали сервер"  +/
Сообщение от Slyer (ok) on 01-Сен-17, 00:28 
Добрый день.
Есть несколько виртуальных серверов на базе Ubuntu server 16-04 (xenial-server-cloudimg-amd64-disk1.img).

По умолчанию /etc/ssh/sshd_config:
PermitRootLogin prohibit-password
PasswordAuthentication no

Т.е. авторизация только по ключу.

Ключ не теряли.

НО кто-то всё же как-то попал на сервер, в логах:


Aug 25 01:17:01 HostNameX CRON[4060]: pam_unix(cron:session): session opened for user root by (uid=0)
Aug 25 01:17:01 HostNameX CRON[4060]: pam_unix(cron:session): session closed for user root
Aug 25 02:01:41 HostNameX login[1146]: pam_unix(login:auth): check pass; user unknown
Aug 25 02:01:41 HostNameX login[1146]: pam_unix(login:auth): authentication failure; logname=LOGIN uid=0 euid=0 tty=/dev/tty1 ruser= rhost=
Aug 25 02:01:45 HostNameX login[1146]: FAILED LOGIN (1) on '/dev/tty1' FOR 'UNKNOWN', Authentication failure
Aug 25 02:01:46 HostNameX sshd[1027]: Received signal 15; terminating.
Aug 25 02:02:54 HostNameX sshd[992]: Server listening on 0.0.0.0 port 22.
Aug 25 02:02:54 HostNameX sshd[992]: Server listening on :: port 22.
Aug 25 02:02:54 HostNameX systemd-logind[983]: Watching system buttons on /dev/input/event0 (Power Button)
Aug 25 02:02:54 HostNameX systemd-logind[983]: New seat seat0.
Aug 25 02:02:59 HostNameX login[1105]: pam_unix(login:session): session opened for user setup by LOGIN(uid=0)
Aug 25 02:02:59 HostNameX systemd: pam_unix(systemd-user:session): session opened for user root by (uid=0)
Aug 25 02:02:59 HostNameX systemd-logind[983]: New session 1 of user root.
Aug 25 02:02:59 HostNameX login[1195]: ROOT LOGIN  on '/dev/tty1'
Aug 25 02:04:54 HostNameX sshd[992]: Received signal 15; terminating.
Aug 25 02:04:54 HostNameX sshd[1249]: Server listening on 0.0.0.0 port 22.
Aug 25 02:04:54 HostNameX sshd[1249]: Server listening on :: port 22.
Aug 25 02:09:15 HostNameX sshd[1512]: Accepted password for setup from 127.0.0.1 port 43568 ssh2
Aug 25 02:09:15 HostNameX sshd[1512]: pam_unix(sshd:session): session opened for user setup by (uid=0)
Aug 25 02:09:15 HostNameX systemd-logind[983]: New session 2 of user root.
Aug 25 02:09:18 HostNameX login[1105]: pam_unix(login:session): session closed for user setup
Aug 25 02:12:51 HostNameX sshd[1512]: pam_unix(sshd:session): session closed for user setup
Aug 25 02:12:51 HostNameX systemd-logind[983]: Removed session 1.
Aug 25 02:12:51 HostNameX systemd-logind[983]: Removed session 2.
Aug 25 02:12:51 HostNameX systemd: pam_unix(systemd-user:session): session closed for user root
Aug 25 02:13:03 HostNameX login[1568]: pam_unix(login:session): session opened for user setup by LOGIN(uid=0)
Aug 25 02:13:03 HostNameX systemd: pam_unix(systemd-user:session): session opened for user root by (uid=0)
Aug 25 02:13:03 HostNameX systemd-logind[983]: New session 3 of user root.
Aug 25 02:13:03 HostNameX login[1672]: ROOT LOGIN  on '/dev/tty1'
Aug 25 02:13:42 HostNameX login[1568]: pam_unix(login:session): session closed for user setup


Вопрос: как злоумышленник попал на сервер ?
В какую сторону копать, чтобы понять где уязвимость?

Спасибо.

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Взломали сервер"  +/
Сообщение от shadow_alone (ok) on 01-Сен-17, 01:49 
Ну во первых, зашли не по ключу:
Aug 25 02:09:15 HostNameX sshd[1512]: Accepted password for setup from 127.0.0.1 port 43568 ssh2

Во вторых, предварительно рестартовали sshd:
Aug 25 02:04:54 HostNameX sshd[992]: Received signal 15; terminating.

А значит запустить его могли с любыми параметрами, и входу без ключа.

Откуда у Вас взялся юзер setup, вот в чем вопрос.
С учетом того что заходили с локального хоста, использовался какой-то backdoor.

А вообще - анализ - процедура платная, можете обратиться на фриланс, вам всё по полочкам разложат во вашим логам.
----
А вот эти две строчки:
Aug 25 02:02:59 HostNameX login[1105]: pam_unix(login:session): session opened for user setup by LOGIN(uid=0)
Aug 25 02:02:59 HostNameX login[1195]: ROOT LOGIN  on '/dev/tty1'

говорят о том, что залогинились локально изначально а не по ssh, и рестартанули ssh.

У Вас всё более чем печально.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Взломали сервер"  +/
Сообщение от pavlinux (ok) on 01-Сен-17, 04:36 
> Во вторых, предварительно рестартовали sshd:
> Aug 25 02:04:54 HostNameX sshd[992]: Received signal 15; terminating.

Конфиги поломал, в панике долбит на кнопку питания, ничё не выходит, враги мерещатся.  

Aug 25 02:01:46 HostNameX sshd[1027]: Received signal 15; terminating.
Aug 25 02:02:54 HostNameX sshd[992]: Server listening on 0.0.0.0 port 22.
Aug 25 02:02:54 HostNameX systemd-logind[983]: Watching system buttons on /dev/input/event0 (Power Button)

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

4. "Взломали сервер"  +/
Сообщение от PavelR (??) on 04-Сен-17, 05:59 
>> Во вторых, предварительно рестартовали sshd:
>> Aug 25 02:04:54 HostNameX sshd[992]: Received signal 15; terminating.
> Конфиги поломал, в панике долбит на кнопку питания, ничё не выходит, враги
> мерещатся.
> Aug 25 02:01:46 HostNameX sshd[1027]: Received signal 15; terminating.
> Aug 25 02:02:54 HostNameX sshd[992]: Server listening on 0.0.0.0 port 22.
> Aug 25 02:02:54 HostNameX systemd-logind[983]: Watching system buttons on /dev/input/event0
> (Power Button)

Да ладно, мож у него IPMI Supermicro в мир открыт.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

5. "Взломали сервер"  +/
Сообщение от ACCA (ok) on 08-Сен-17, 03:17 
> Да ладно, мож у него IPMI Supermicro в мир открыт.

Там нету IPMI, там облачный образ - xenial-server-cloudimg-amd64-disk1.img. Походу, там есть юзер setup, которым заходит облачный провайдер и что-то подшаманивает.

Поднял чужую систему под чужим управлением - должен страдать.


Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

3. "Взломали сервер"  +/
Сообщение от pavlinux (ok) on 01-Сен-17, 04:45 
> В какую сторону копать, чтобы понять где уязвимость?

О, пля, нахера логи обрезал? Тогда платно.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

6. "Взломали сервер"  +/
Сообщение от AntonAlekseevich (ok) on 12-Сен-17, 07:52 
Копай в сторону PAM. Смотри в конфиг PAM. Возможно что-то сконфигурировал не так.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема


  Закладки на сайте
  Проследить за страницей
Created 1996-2017 by Maxim Chirkov  
ДобавитьРекламаВебмастеруГИД  
Hosting by Ihor