kaziu 0 Zgłoś post Napisano Listopad 18, 2015 Witam, Dziś zauważyłem, że mój serwer został zresetowany, tylko ja mam root'a więc wydało mi się to dziwne. Zacząłem studiować logi i znalazłem: Nov 18 11:24:01 be3 CRON[27150]: pam_unix(cron:session): session opened for user root by (uid=0) Nov 18 11:24:01 be3 CRON[27150]: pam_unix(cron:session): session closed for user root Nov 18 11:25:01 be3 CRON[27200]: pam_unix(cron:session): session opened for user root by (uid=0) Nov 18 11:25:01 be3 CRON[27200]: pam_unix(cron:session): session closed for user root Nov 18 11:38:37 be3 su[2492]: Successful su for mysql by root Nov 18 11:38:37 be3 su[2492]: + /dev/console root:mysql Nov 18 11:38:37 be3 su[2492]: pam_unix(su:session): session opened for user mysql by (uid=0) Nov 18 11:38:38 be3 su[2492]: pam_unix(su:session): session closed for user mysql Nov 18 11:38:43 be3 su[3134]: Successful su for ejabberd by root Nov 18 11:38:43 be3 su[3134]: + /dev/console root:ejabberd Nov 18 11:38:43 be3 su[3134]: pam_unix(su:session): session opened for user ejabberd by (uid=0) Nov 18 11:38:44 be3 sshd[3210]: Server listening on 0.0.0.0 port 5022. Nov 18 11:38:44 be3 sshd[3210]: Server listening on :: port 5022. Nov 18 11:38:47 be3 su[3134]: pam_unix(su:session): session closed for user ejabberd Nov 18 11:38:47 be3 su[3357]: Successful su for ejabberd by root Nov 18 11:38:47 be3 su[3357]: + /dev/console root:ejabberd Nov 18 11:38:47 be3 su[3357]: pam_unix(su:session): session opened for user ejabberd by (uid=0) Nov 18 11:38:47 be3 su[3357]: pam_unix(su:session): session closed for user ejabberd Nov 18 11:38:47 be3 su[3383]: Successful su for ejabberd by root Nov 18 11:38:47 be3 su[3383]: + /dev/console root:ejabberd Nov 18 11:38:47 be3 su[3383]: pam_unix(su:session): session opened for user ejabberd by (uid=0) Nov 18 11:38:47 be3 su[3383]: pam_unix(su:session): session closed for user ejabberd Nov 18 11:38:48 be3 su[3465]: Successful su for ejabberd by root Nov 18 11:38:48 be3 su[3465]: + /dev/console root:ejabberd Nov 18 11:38:48 be3 su[3465]: pam_unix(su:session): session opened for user ejabberd by (uid=0) Nov 18 11:38:49 be3 su[3465]: pam_unix(su:session): session closed for user ejabberd Nov 18 11:38:50 be3 su[3598]: Successful su for ejabberd by root Nov 18 11:38:50 be3 su[3598]: + /dev/console root:ejabberd Nov 18 11:38:50 be3 su[3598]: pam_unix(su:session): session opened for user ejabberd by (uid=0) Nov 18 11:38:50 be3 su[3598]: pam_unix(su:session): session closed for user ejabberd Nov 18 11:38:51 be3 su[3743]: Successful su for ejabberd by root Nov 18 11:38:51 be3 su[3743]: + /dev/console root:ejabberd Jakim cudem ktoś się dostał na root'a? Mam debian 7 wheezy. Dziury w ejabberd? Mam dość trudne hasło i zmieniony port dla SSH. Udostępnij ten post Link to postu Udostępnij na innych stronach
bybunny 540 Zgłoś post Napisano Listopad 18, 2015 czemu używasz hasła a nie klucza do ssh? hasło do bazy i dostęp jako root Udostępnij ten post Link to postu Udostępnij na innych stronach
kaziu 0 Zgłoś post Napisano Listopad 18, 2015 @SiXWishlist wytłumacz mi dokładniej Udostępnij ten post Link to postu Udostępnij na innych stronach
bybunny 540 Zgłoś post Napisano Listopad 18, 2015 Dokładnie to mi się nie chce ale myślę że masz konto root jako główne z możliwością bezpośredniego zalogowania na nie. Zasada nr jeden klucz zamiast hasła, zasada nr dwa utworzenie użytkownika podrzędnego ,zasada nr trzy wyłączenie dostępu dla konta root przy logowaniu przez ssh. Masz niezabezpieczony serwer i tyle. Najprawdopodobniej na podstawie hasła do bazy dostał się i przypisał sobie uprawnienia root. jak serwer jest dziurawy to robisz co chcesz i jak chcesz. Udostępnij ten post Link to postu Udostępnij na innych stronach
kaziu 0 Zgłoś post Napisano Listopad 18, 2015 Nie można się do mnie zalogować bezpośrednio jako root. Co mu dawało hasło do bazy mysql? Udostępnij ten post Link to postu Udostępnij na innych stronach
bybunny 540 Zgłoś post Napisano Listopad 18, 2015 Widocznie można skoro jako użytkownik restartował tobie serwer, a co dało mu dostęp? Sam fakt nie posiadania zabezpieczenia by po trzech np próbach blokowało IP świadczy o tym że nie jesteś przygotowany. Hasło wyciągnął z aplikacji ,np błędne prawa do plików? Udostępnij ten post Link to postu Udostępnij na innych stronach
kaziu 0 Zgłoś post Napisano Listopad 18, 2015 Najdziwniejsze jest to, że nie widać z jakiego IP się łączył, nic tylko od razu su itd. Udostępnij ten post Link to postu Udostępnij na innych stronach
Rolej 58 Zgłoś post Napisano Listopad 18, 2015 O ile się nie mylę to to jest auth.log. Sysloga i logi ejabbera sprawdzałeś? Udostępnij ten post Link to postu Udostępnij na innych stronach
kaziu 0 Zgłoś post Napisano Listopad 18, 2015 Jedynie ciągłe ataki na postfixa z Tajwanu: Nov 18 11:44:33 be3 postfix/smtpd[3933]: warning: 60-249-253-146.HINET-IP.hinet.net[60.249.253.146]: SASL LOGIN authentication failed: UGFzc3dvcmQ6 Poza tym nic ciekawego nie widać. Może jakaś dziura w eJabberd, narazie wyłączyłem tą usługę i będę obserwował sytuacje. Udostępnij ten post Link to postu Udostępnij na innych stronach
Miłosz 2311 Zgłoś post Napisano Listopad 18, 2015 Zobacz czy czasem nie masz jakiegoś nadprogramowego roota, sprawdź uidy i powłoki w /etc/passwd. Przejrzyj też shadow i sprawdź czy usery, które z reguły nie powinny mieć hasła, nagle je mają. Hasło do swojego konta masz mocne? sudo wymusza podawanie hasła? Udostępnij ten post Link to postu Udostępnij na innych stronach
kaziu 0 Zgłoś post Napisano Listopad 18, 2015 Hasło do swojego konta mam mocne. Tak sudo wymusza podawanie hasła poza tym nikt nie jest dopisany do sudoers (zawsze idę na root'a przez su). passwd i shadow wyglądają w porządku. Staram się znaleźć jakiś ślad jego działalności ale niczego nie znajduję. Dziwne włamał się tylko po to żeby reset zrobić? Nie jest to maszyna produkcyjna. Udostępnij ten post Link to postu Udostępnij na innych stronach
Gość Spoofy Zgłoś post Napisano Listopad 18, 2015 #!/bin/bash TARGET="/" #*-------------------------------------* ok() { echo -e "[ ok ] $@" } warn() { echo -e "[ WARNING ] $@" allclean=0 } doing() { echo -ne " $@" } run() { # checking if target system is mounted if ! test -e $TARGET/bin/sh ; then warn "Please mount target system on $TARGET before running this script ($TARGET/bin/sh not found)" exit 1 fi allclean=1 # crontabs check if [ $TARGET == "/" ]; then for i in /var/spool/cron/crontabs/* /etc/crontab /etc/cron.*/* ; do if grep -q stablehost -- "$i" ; then warn "file $i is infected, cleaning" chattr -isa -- "$i" sed -i -re 's/.*stablehost.*//g' -- "$i" else ok "file $i is clean" fi done else for i in $TARGET/var/spool/cron/crontabs/* $TARGET/etc/crontab $TARGET/etc/cron.*/* ; do if grep -q stablehost -- "$i" ; then warn "file $i is infected, cleaning" chattr -isa -- "$i" sed -i -re 's/.*stablehost.*//g' -- "$i" else ok "file $i is clean" fi done fi # init scripts if [ $TARGET == "/" ]; then if [ -f /etc/conf.d/local.start ]; then DIRS="/etc/init.d/webmin /etc/conf.d/local.start" else DIRS="/etc/init.d/webmin" fi for i in $DIRS ; do if grep -q system/pagezero -- "$i" ; then warn "file $i is infected, cleaning" chattr -isa -- "$i" sed -i -re 's=.*system/pagezero.*==g' -- $i else ok "file $i is clean" fi done for i in /etc/init.d/*ssh* do if grep -q wget -- "$i" 2>/dev/null ; then warn "file $i is infected, cleaning it" chattr -isa "$i" -- sed -i -re 's/wget .+/true/g' -- "$i" else ok "file $i is clean" fi done else if [ -f /etc/conf.d/local.start ]; then DIRS="/etc/init.d/webmin /etc/conf.d/local.start" else DIRS="/etc/init.d/webmin" fi for i in $DIRS ; do if grep -q system/pagezero -- "$i" ; then warn "file $i is infected, cleaning" chattr -isa -- "$i" sed -i -re 's=.*system/pagezero.*==g' -- $i else ok "file $i is clean" fi done for i in $TARGET/etc/init.d/*ssh* do if grep -q wget -- "$i" 2>/dev/null ; then warn "file $i is infected, cleaning it" chattr -isa "$i" -- sed -i -re 's/wget .+/true/g' -- "$i" else ok "file $i is clean" fi done fi # immutable directories or files in /tmp if [ $TARGET == "/" ]; then for i in $(lsattr -R /tmp/ 2>/dev/null | awk '/^....i/ { print $2 }') do if test -d "$i" ; then warn "directory $i is immutable, deleting it" find "$i" -print0 | xargs -r0 chattr -isa -- rm -Rf -- "$i" else warn "file $i is immutable, deleting it" chattr -isa -- "$i" rm -f -- "$i" fi done else for i in $(lsattr -R $TARGET/tmp/ 2>/dev/null | awk '/^....i/ { print $2 }') do if test -d "$i" ; then warn "directory $i is immutable, deleting it" find "$i" -print0 | xargs -r0 chattr -isa -- rm -Rf -- "$i" else warn "file $i is immutable, deleting it" chattr -isa -- "$i" rm -f -- "$i" fi done fi # known bad files to delete if [ $TARGET == "/" ]; then for i in /tmp/.x /tmp/sh /etc/cron.weekly/logrotater /usr/libexec/ssh-keysign /usr/include/{pi-crypt.h,filearch.h,uodbc_pos.h,uodbc_pos.so,uodbc_pos.h} /tmp/arm /tmp/mips /tmp/.roleModelZ /tmp/.roleModel /tmp/b /tmp/init /tmp/p ; do if test -e "$i" ; then warn "file $i found, deleting it" chattr -isa -- "$i" rm -f -- "$i" else ok "file $i not found, good" fi done else for i in $TARGET/tmp/.x $TARGET/tmp/sh $TARGET/etc/cron.weekly/logrotater $TARGET/usr/libexec/ssh-keysign $TARGET/usr/include/{pi-crypt.h,filearch.h,uodbc_pos.h,uodbc_pos.so,uodbc_pos.h} $TARGET/tmp/arm $TARGET/tmp/mips $TARGET/tmp/.roleModelZ $TARGET/tmp/.roleModel $TARGET/tmp/b $TARGET/tmp/init $TARGET/tmp/p ; do if test -e "$i" ; then warn "file $i found, deleting it" chattr -isa -- "$i" rm -f -- "$i" else ok "file $i not found, good" fi done fi # known bad directories to delete if [ $TARGET == "/" ]; then for i in /var/system/pagezero ; do if test -e "$i" ; then warn "file $i found, deleting it" find "$i" | xargs chattr -isa -- rm -Rf -- "$i" else ok "file $i not found, good" fi done else for i in $TARGET/var/system/pagezero ; do if test -e "$i" ; then warn "file $i found, deleting it" find "$i" | xargs chattr -isa -- rm -Rf -- "$i" else ok "file $i not found, good" fi done fi # neutralized files if [ $TARGET == "/" ]; then if stat /usr/bin/crontab | grep -q "0000/----------" ; then warn "crontab binary has been neutralized, reactivating it" chattr -isa -- "/usr/bin/crontab" chmod 755 -- "/usr/bin/crontab" else ok "crontab binary is fine" fi # fixing legit immutable dirs for i in /usr/src/bin /tmp do if test -d "$i" && lsattr -- "$i" | awk '/lsattr: Inappropriate ioctl for device While reading flags on/ {getline; next} {print}' | grep -q '^....i' ; then warn "directory $i is immutable, restoring correct attributes" chattr -isa -- "$i" else ok "directory $i has correct attributes" fi done foundone=0 for i in $(find /bin/ /sbin/ /usr/bin/ /usr/sbin/ -type f -print0 | xargs -r0 grep -l -- 'grep -v' | xargs grep -lE 'if . -f /usr/src/') do exename=$(basename -- "$i") for dir in bin sbin ; do if test -e /usr/src/$dir/$exename && ! cmp -s -- /usr/src/$dir/$exename $i ; then foundone=1 warn "binary $i differs from /usr/src/$dir/$exename, restoring src version" chattr -isa -- "$i" /usr/src/$dir/$exename rm -f -- "$i" cp -a -- "/usr/src/$dir/$exename" "$i" chmod 755 -- "$i" fi done done if [ "$foundone" = 0 ] ; then ok "no known-modified binary were found in /bin /sbin /usr/bin /usr/sbin, good" fi else if stat $TARGET/usr/bin/crontab | grep -q "0000/----------" ; then warn "crontab binary has been neutralized, reactivating it" chattr -isa -- "$TARGET/usr/bin/crontab" chmod 755 -- "$TARGET/usr/bin/crontab" else ok "crontab binary is fine" fi # fixing legit immutable dirs for i in $TARGET/usr/src/bin $TARGET/tmp do if test -d "$i" && lsattr -- "$i" | grep -q '^....i' &> /dev/null; then warn "directory $i is immutable, restoring correct attributes" chattr -isa -- "$i" else ok "directory $i has correct attributes" fi done foundone=0 for i in $(find $TARGET/bin/ $TARGET/sbin/ $TARGET/usr/bin/ $TARGET/usr/sbin/ -type f -print0 | xargs -r0 grep -l -- 'grep -v' | xargs grep -lE 'if . -f /usr/src/') do exename=$(basename -- "$i") for dir in bin sbin ; do if test -e $TARGET/usr/src/$dir/$exename && ! cmp -s -- $TARGET/usr/src/$dir/$exename $i ; then foundone=1 warn "binary $i differs from $TARGET/usr/src/$dir/$exename, restoring src version" chattr -isa -- "$i" $TARGET/usr/src/$dir/$exename rm -f -- "$i" cp -a -- "$TARGET/usr/src/$dir/$exename" "$i" chmod 755 -- "$i" fi done done if [ "$foundone" = 0 ] ; then ok "no known-modified binary were found in $TARGET/bin $TARGET/sbin $TARGET/usr/bin $TARGET/usr/sbin, good" fi fi # (slow) known bad contents to search for if [ $TARGET == "/" ]; then foundone=0 doing "looking for known trojans in several places" for i in $(find /tmp /etc /usr/*bin /*bin -prune -name "hack-cleaner.sh" -type f -print0 | xargs -r0 -n100 grep -l "NOTICE %s :I'm having a problem resolving my host, someone will have to SPOOFS me manually") do if file -- "$i" | grep -q executable ; then foundone=1 warn "file $i found with known trojan, deleting it" chattr -isa -- "$i" rm -f -- "$i" fi done if [ "$foundone" = 0 ] ; then echo "" ok "no known-trojans were found " fi # done if [ "$allclean" != 1 ] ; then echo -e "" echo -e "Status: [ INFECTED ]" echo -e "WARNING!" echo -e "Your machine was infected and we tried to clean it, please relaunch this script to ensure all is OK" else echo -e "" echo -e "Status: [ OK ]" echo -e "No known hack binary was found on your system" fi else foundone=0 doing "looking for known trojans in several places" for i in $(find $TARGET/tmp $TARGET/etc $TARGET/usr/*bin $TARGET/*bin -type f -print0 | xargs -r0 -n100 grep -l "NOTICE %s :I'm having a problem resolving my host, someone will have to SPOOFS me manually") do if file -- "$i" | grep -q executable ; then foundone=1 warn "file $i found with known trojan, deleting it" chattr -isa -- "$i" rm -f -- "$i" fi done if [ "$foundone" = 0 ] ; then ok "no known-trojans were found " fi # done if [ "$allclean" != 1 ] ; then echo -e "" echo -e "Status: [ INFECTED ]" echo -e "WARNING!" echo -e "Your machine was infected and we tried to clean it, please relaunch this script to ensure all is OK" else echo -e "" echo -e "Status: [ OK ]" echo -e "No known hack binary was found on your system" fi fi } run zapisz jako test.sh, potem : chmod +x test.sh && ./test.sh Zakładając że to debian/łudubuntu : apt-get install chkrootkit rkhunter && chkrootkit && rkhunter Potem jeszcze wycinek : netstat -tupln W najlepszym przypadku z output'ów jakie tutaj dasz, jak będę mieć może chwilę czasu to coś wywnioskuję, jak nie to zapraszam do zapoznania się z ofertą analizy powłamaniowej i/lub wdrożenia zabezpieczeń na PW. Udostępnij ten post Link to postu Udostępnij na innych stronach
Dentarg 46 Zgłoś post Napisano Listopad 19, 2015 Jak dla mnie to system do zaorania Udostępnij ten post Link to postu Udostępnij na innych stronach
kaziu 0 Zgłoś post Napisano Listopad 19, 2015 I pewnie się skończy na reinstallu.. :/ Udostępnij ten post Link to postu Udostępnij na innych stronach
kafi 2425 Zgłoś post Napisano Listopad 19, 2015 To jest VPS czy dedyk? A osobom proponującym "zaorać" serwer i takie tam inne ciekawe rady proponuję zajrzeć do źródeł skryptu init.d odpalającego ejabberd: https://github.com/rivendale2010/content/wiki/etc%5Cinit.d%5Cejabberd a następnie zaorać sobie troszkę neuronów w mózgu. W wersji tl;dr - wpisy su odnośnie ejabberd nie są niczym złym (bo tak ejabberd jest startowany); a restart mógł być spowodowany - w przypadku serwera dedykowanego np. awarią zasilania albo działaniem operatora serwerowni; w przypadku vpsa - czymś po stronie usługodawcy (np. aktualizacją oprogramowania na serwerze). Udostępnij ten post Link to postu Udostępnij na innych stronach
kaziu 0 Zgłoś post Napisano Listopad 19, 2015 Dedyk Kimsufi w OVH. Sprawdzalem listę awarii/interwencji wczoraj okolo 11:30 niby nic nie robili. Dedyk Kimsufi w OVH. Sprawdzalem listę awarii/interwencji wczoraj okolo 11:30 niby nic nie robili. Udostępnij ten post Link to postu Udostępnij na innych stronach
kafi 2425 Zgłoś post Napisano Listopad 19, 2015 Sprawdź poleceniem uptime czas działania serwera i poszukaj w /var/log/syslog i /var/log/messages jakichś informacji z tego czasu. Udostępnij ten post Link to postu Udostępnij na innych stronach
kaziu 0 Zgłoś post Napisano Listopad 19, 2015 @Spoofy wklejam wynik test.sh: [ ok ] file /etc/cron.daily/mdadm is clean [ ok ] file /etc/cron.daily/mlocate is clean [ ok ] file /etc/cron.daily/ntp is clean [ ok ] file /etc/cron.daily/passwd is clean [ ok ] file /etc/cron.daily/prelink is clean [ ok ] file /etc/cron.d/mdadm is clean [ ok ] file /etc/cron.d/php5 is clean [ ok ] file /etc/cron.weekly/man-db is clean [ ok ] file /etc/cron.weekly/tor is clean grep: /etc/init.d/webmin: Nie ma takiego pliku ani katalogu [ ok ] file /etc/init.d/webmin is clean [ ok ] file /etc/init.d/ssh is clean [ ok ] file /tmp/.x not found, good [ ok ] file /tmp/sh not found, good [ ok ] file /etc/cron.weekly/logrotater not found, good [ ok ] file /usr/libexec/ssh-keysign not found, good [ ok ] file /usr/include/pi-crypt.h not found, good [ ok ] file /usr/include/filearch.h not found, good [ ok ] file /usr/include/uodbc_pos.h not found, good [ ok ] file /usr/include/uodbc_pos.so not found, good [ ok ] file /usr/include/uodbc_pos.h not found, good [ ok ] file /tmp/arm not found, good [ ok ] file /tmp/mips not found, good [ ok ] file /tmp/.roleModelZ not found, good [ ok ] file /tmp/.roleModel not found, good [ ok ] file /tmp/b not found, good [ ok ] file /tmp/init not found, good [ ok ] file /tmp/p not found, good [ ok ] file /var/system/pagezero not found, good [ ok ] crontab binary is fine [ ok ] directory /usr/src/bin has correct attributes lsattr: Operacja nie obsługiwana Podczas odczytu flag /tmp/php-fpm_webmail.sock lsattr: Operacja nie obsługiwana Podczas odczytu flag /tmp/php-fpm_pma.sock lsattr: Operacja nie obsługiwana Podczas odczytu flag /tmp/php-fpm_postfix.sock [ ok ] directory /tmp has correct attributes [ ok ] no known-modified binary were found in /bin /sbin /usr/bin /usr/sbin, good looking for known trojans in several places [ ok ] no known-trojans were found Status: [ OK ] No known hack binary was found on your system Reszty nie będę wklejał bo sporo tego, ale generalnie nic ciekawego tam nie znalazłem. @kafi Wkleje to co było w logach zaraz przed i zaraz po restarcie: SySlog: Nov 18 11:41:43 be3 named[2395]: error (network unreachable) resolving '0.debian.pool.ntp.org.ovh.net/A/IN': 2001:500:3::42#53 Nov 18 11:41:43 be3 named[2395]: error (network unreachable) resolving '0.debian.pool.ntp.org.ovh.net/AAAA/IN': 2001:500:3::42#53 Nov 18 11:41:43 be3 named[2395]: error (network unreachable) resolving '0.debian.pool.ntp.org.ovh.net/A/IN': 2001:dc3::35#53 Nov 18 11:41:43 be3 named[2395]: error (network unreachable) resolving '0.debian.pool.ntp.org.ovh.net/AAAA/IN': 2001:dc3::35#53 Nov 18 11:41:43 be3 ntpd_intres[2493]: host name not found: 0.debian.pool.ntp.org Nov 18 11:41:43 be3 named[2395]: error (network unreachable) resolving '1.debian.pool.ntp.org/A/IN': 198.41.0.4#53 Nov 18 11:41:43 be3 named[2395]: error (network unreachable) resolving '1.debian.pool.ntp.org/AAAA/IN': 198.41.0.4#53 Nov 18 11:41:43 be3 rsyslogd-2177: imuxsock begins to drop messages from pid 2395 due to rate-limiting Nov 18 11:41:43 be3 ntpd_intres[2493]: host name not found: 1.debian.pool.ntp.org Nov 18 11:41:44 be3 ntpd_intres[2493]: host name not found: 2.debian.pool.ntp.org Nov 18 11:41:44 be3 ntpd_intres[2493]: host name not found: 3.debian.pool.ntp.org Nov 18 11:42:01 be3 /USR/SBIN/CRON[6027]: (root) CMD (/usr/local/rtm/bin/rtm 12 > /dev/null 2> /dev/null) Nov 18 11:43:54 be3 kernel: imklog 5.8.11, log source = /proc/kmsg started. Nov 18 11:43:54 be3 rsyslogd: [origin software="rsyslogd" swVersion="5.8.11" x-pid="2323" x-info="http://www.rsyslog.com"] start Nov 18 11:43:54 be3 kernel: [ 0.000000] Initializing cgroup subsys cpuset Nov 18 11:43:54 be3 kernel: [ 0.000000] Initializing cgroup subsys cpu w massages nawet nie ma co wklejać tylko logi uruchamianego kernela. Udostępnij ten post Link to postu Udostępnij na innych stronach
Gość Spoofy Zgłoś post Napisano Listopad 19, 2015 Niewiem jak to jest z tym ejabberd. Widzę że to maszyna z OVH (pewno kimsufi albo inne). Jak możesz to dla świętego spokoju przeinstaluj sobie system. Jak chcesz dalej grzebać czemu miałeś reboot'a to następnym razem loguj takie rzeczy np. poprzez auditd. Jeżeli korzystasz z hasła jako metodę uwierzytelnienia SSH to upewnij się również że nie masz jakiegoś syfu na komputerze z którego się łaczysz (keylogger? Inny syf ściągnięty z internetu po przeglądaniu np. "pornsite'ów"?). Ja jestem ciężko przewrażliwiony i zawsze dmucham na zimne - takie doświadczenia i taka moja natura. Ty nie musisz, a może równie dobrze się okazać że ten magiczny "reboot" to po prostu źle skonfigurowane środowisko, jak np. źle skonfigurowane iptables (przykład > ntpd nie wychodzi Ci na świat, DNS nie może odnaleźć domeny) i np. włączony monitoring OVH który sprawdza, pinguje z kilku hostów (na różnych portach) Twój serwer czy odpowiada - brak odpowiedzi = reboot. Udostępnij ten post Link to postu Udostępnij na innych stronach
Pan Kot 1535 Zgłoś post Napisano Listopad 22, 2015 zasada nr trzy wyłączenie dostępu dla konta root przy logowaniu przez ssh. Nie zgodzę się, wystarczy wyłączyć logowanie do roota po haśle (PermitRootLogin without-password). Nie ma potrzeby utrudniać sobie życia tam gdzie nie trzeba, logowanie na roota bezpośrednio po sshd przy pomocą klucza to wystarczające zabezpieczenie. 1 Udostępnij ten post Link to postu Udostępnij na innych stronach
kaziu 0 Zgłoś post Napisano Listopad 22, 2015 Logowanie z root'a mam od poczatku wylaczone wiec to nie tutaj tkwi problem. Wciaz przegladam logi i z tego co widze to nic sie nie dzieje. Chyba to byl fałszywy alarm. Udostępnij ten post Link to postu Udostępnij na innych stronach
Gość Spoofy Zgłoś post Napisano Listopad 22, 2015 (edytowany) Logowanie z root'a mam od poczatku wylaczone wiec to nie tutaj tkwi problem. Wciaz przegladam logi i z tego co widze to nic sie nie dzieje. Chyba to byl fałszywy alarm. Summa summarum - prawdopodobnie mógł to być po prostu losowy reboot budżetowego serwera (kimsufi). Oczywiście mogło to być również (co jest raczej mniej prawdopodobne) włamanie na serwer albo stację roboczą, ale bez odpowiedniego zbadania sprawy nie da się tego ustalić. Jedyną lekcję jaką można wynieść z tej sytuacji jest to, aby nie pisać tematów w stylu "Włamanie na serwer" bez większej pewności a raczej "dziwny reboot", ponieważ u niektórych (np. u mnie ) załacza się tryb iście detektywistyczny. Co tak naprawdę było przyczyną? Tego nie dowiemy się już nigdy.... https://www.youtube.com/watch?v=HQoRXhS7vlU Pozdrawiam. Edytowano Listopad 22, 2015 przez Spoofy (zobacz historię edycji) Udostępnij ten post Link to postu Udostępnij na innych stronach
