Sunucum PortScann/PAM Taraması Yapıyormuş?

Ufkabakan · 1 12-07-2011, 11:06:24

Merhaba Arkadaşlar,
Aylardır kullandığım sunucu dün (11.07.2011) tarihinde farklı sunucuları tarayıp SSHD Login denemesinde bulunduğuna dair DC den uyarı maili aldım.

DC'me gelen uyarı mesajı:

Alıntı:

Hallo,

unser Server, loftXXXX.serverloft.de wird permanent von einem Server mit der IP 188.138.AA.BBB mit Login Versuchen bombardiert.

In den letzten 24 Stunden waren es ca. 3000 Versuche.

Logfile Auszug:

Jul 11 01:48:41 loft4837 sshd[26583]: pam_unix(sshd:auth): check pass; user unknown

Jul 11 01:48:41 loft4837 sshd[26583]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=abcserver.startdedicated.com

Jul 11 01:48:42 loft4837 sshd[26583]: Failed password for invalid user tverdislav from 188.138.AA.BBB port 50229 ssh2

Jul 11 01:48:43 loft4837 sshd[26585]: Invalid user tvorimir from 188.138.AA.BBB

Jul 11 01:48:43 loft4837 sshd[26585]: pam_unix(sshd:auth): check pass; user unknown

Jul 11 01:48:43 loft4837 sshd[26585]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=abcserver.startdedicated.com

Jul 11 01:48:44 loft4837 sshd[26585]: Failed password for invalid user tvorimir from 188.138.AA.BBB port 50311 ssh2

Jul 11 01:48:44 loft4837 sshd[26587]: Invalid user ulia from 188.138.AA.BBB

Jul 11 01:48:44 loft4837 sshd[26587]: pam_unix(sshd:auth): check pass; user unknown

Jul 11 01:48:44 loft4837 sshd[26587]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=abcserver.startdedicated.com

Jul 11 01:48:46 loft4837 sshd[26587]: Failed password for invalid user ulia from 188.138.AA.BBB port 50401 ssh2

Jul 11 01:48:46 loft4837 sshd[26589]: Invalid user ulik from 188.138.AA.BBB

Jul 11 01:48:46 loft4837 sshd[26589]: pam_unix(sshd:auth): check pass; user unknown

Jul 11 01:48:46 loft4837 sshd[26589]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=abcserver.startdedicated.com

Jul 11 01:48:49 loft4837 sshd[26589]: Failed password for invalid user ulik from 188.138.AA.BBB port 50501 ssh2

Jul 11 01:48:49 loft4837 sshd[26591]: Invalid user ulyan from 188.138.AA.BBB

Jul 11 01:48:49 loft4837 sshd[26591]: pam_unix(sshd:auth): check pass; user unknown

Jul 11 01:48:49 loft4837 sshd[26591]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=abcserver.startdedicated.com

Jul 11 01:48:51 loft4837 sshd[26591]: Failed password for invalid user ulyan from 188.138.AA.BBB port 50599 ssh2

Jul 11 01:48:51 loft4837 sshd[26594]: Invalid user ulyana from 188.138.AA.BBB

Jul 11 01:48:51 loft4837 sshd[26594]: pam_unix(sshd:auth): check pass; user unknown

Jul 11 01:48:51 loft4837 sshd[26594]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=abcserver.startdedicated.com

Jul 11 01:48:53 loft4837 sshd[26594]: Failed password for invalid user ulyana from 188.138.AA.BBB port 50727 ssh2

Jul 11 01:48:53 loft4837 sshd[26596]: Invalid user ural from 188.138.AA.BBB

Jul 11 01:48:53 loft4837 sshd[26596]: pam_unix(sshd:auth): check pass; user unknown

Jul 11 01:48:53 loft4837 sshd[26596]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=abcserver.startdedicated.com

Jul 11 01:48:55 loft4837 sshd[26596]: Failed password for invalid user ural from 188.138.AA.BBB port 50803 ssh2

Jul 11 01:48:55 loft4837 sshd[26598]: Invalid user ustin from 188.138.AA.BBB

Mit freundlichen Grüßen
Ralf Teuber

Benim /var/log/messages Ait loglarım: http://www.ufkabakan.com/ServerLog.txt

/var/log/secure Ait LOGlarım : http://www.ufkabakan.com/ServerLog2.txt

Devamlı aldığım bu mesaj neyin nesidir?

Kod:

kernel: sshd[24162]: segfault at 0000000000000000 rip 0000000008048f03 rsp 00000000ff99a670 error 4

Ek olarak bu da nedemek :S

Kod:

Jul 12 06:20:02 MyDOMAIN su: pam_unix(su:session): session opened for user postgres by (uid=0)
Jul 12 06:20:02 MyDOMAIN su: pam_unix(su:session): session closed for user postgres
Jul 12 06:25:02 MyDOMAIN su: pam_unix(su:session): session opened for user postgres by (uid=0)
Jul 12 06:25:02 MyDOMAIN su: pam_unix(su:session): session closed for user postgres
Jul 12 06:30:02 MyDOMAIN su: pam_unix(su:session): session opened for user postgres by (uid=0)
Jul 12 06:30:02 MyDOMAIN su: pam_unix(su:session): session closed for user postgres
Jul 12 06:35:01 MyDOMAIN su: pam_unix(su:session): session opened for user postgres by (uid=0)
Jul 12 06:35:01 MyDOMAIN su: pam_unix(su:session): session closed for user postgres
Jul 12 06:40:02 MyDOMAIN su: pam_unix(su:session): session opened for user postgres by (uid=0)

Sistem DataDock Almanyada,
CentOS 5,6 Kurulu, Linux 2.6.18-238.9.1.el5 on x86_64
Panel Webmin version 1.550

Sanırım bir Expolit yedim ama nasıl...

Ufkabakan · 2 12-07-2011, 12:19:53

Alıntı:

Jul 12 06:20:02 MyDOMAIN su: pam_unix(su:session): session opened for user postgres by (uid=0)

Kısmı PostgreSQL ile alakalıymış o servisi stopladım kullanmıyordum da zaten. Ama diğer sorunlar hakkında halen bilgisiz durumdayım.

AndyCap · 3 12-07-2011, 17:23:53

Evet postgres kullanıcısı root ile eşdeğer haklara sahip , sunucu ele geçirilmiş gibi gözüküyor. Bundan sonra çalışan hiçbir uygulamaya güvenme bence. Yapacağın en iyi iş , backup ve temiz bir kurulum.

Ufkabakan · 4 12-07-2011, 22:10:07

@AndyCap
Hocam işin kötüsü sunucuda yapılan bir değişilik vs de olmadı. Yani sıfırdan yükleyip yeniden yükleyip sistemi aktif etsem, yine aynı açığı kullanarak sistemi elegeçirebilirler.

Benim istediğim bu güvenlik açığının nereden geldiği.

Açık olan bağlantılardan yada processlerden bulamazmıyım?

AndyCap · 5 13-07-2011, 02:23:32

Evet bulabilirsin aslında , işlemleri ve established durumdaki network bağlantılarını incele istersen.

Bir de proftpd -v görebilir miyim?

xarius · 6 13-07-2011, 15:47:01

Allah kimsenin başına vermesin bizde kernel yüzünden hacklenmiştik

Ufkabakan · 7 14-07-2011, 10:50:06

SSH portunu değiştirdim, PostgreSQL Suspend edip açılışta çalışmasını durdurdum.
Şuan bir geri dönüş olmadı yeniden, LOG larda temiz gözüküyor.

Benim tespit konusundaki merakım, böyle bir işe girişen şahıs, Wİndowsdaki Resgistry deki RUN anahtarı gibi Linuxda da açılışta çalışması için bir servis vs koymamışmıdır, bir daha uğraşmamak için? Yada yaratığı bir kullanıcı hesabı vs varsa bunları nereden görebilirim?

Seçenekler
Yazdırılabilir şekli göster Sayfayı E-Mail olarak gönder