Rsyslogd 记录有关未知应用程序创建的攻击的日志条目

Rsyslogd 记录有关未知应用程序创建的攻击的日志条目

我有一个用于测试目的的服务器,最近在 /var/log/syslog、/var/log/user.log 和 /var/log/messages 中捕获了一些奇怪的日志条目。auth.log 没有显示任何可疑内容。在此期间,不应该有任何(人类)用户登录。

该服务器几乎不运行任何软件,只有 sshd 守护进程。

日志条目没有显示哪个程序创建了它们,它们似乎源自某些端口扫描和探测活动。

有人知道这些消息来自哪里吗?(SOMEDATETIME 是日志条目的时间,SOMEIP 是未知的 IP 地址)

SOMEDATETIME GET / HTTP/1.0#015
SOMEDATETIME SOMEIP #015 
SOMEDATETIME SOMEIP #015 
SOMEDATETIME SOMEIP #015 
SOMEDATETIME OPTIONS / HTTP/1.0#015
SOMEDATETIME SOMEIP #015 
SOMEDATETIME OPTIONS / RTSP/1.0#015
SOMEDATETIME SOMEIP #015 
SOMEDATETIME SOMEIP HELP#015 
SOMEDATETIME SOMEIP #026#003#000#000S#001#000#000O#003#000?G���,���`~�#000��{�Ֆ�w����<=�o�#020n#000#000(#000#026#000#023 
SOMEDATETIME SOMEIP #026#003#000#000i#001#000#000e#003#003U#034��random1random2random3random4#000#000#014#000/ 
SOMEDATETIME SOMEIP #000#000#000qj�n0�k�#003#002#001#005�#003#002#001 
SOMEDATETIME GET /nice%20ports%2C/Tri%6Eity.txt%2ebak HTTP/1.0#015
SOMEDATETIME SOMEIP #015 
SOMEDATETIME SOMEIP #001default 
SOMEDATETIME SOMEIP #002 
SOMEDATETIME OPTIONS sip: nm SIP/2.0#015
SOMEDATETIME SOMEIP Via: SIP/2.0/TCP nm;branch=foo#015
SOMEDATETIME SOMEIP From: <sip:nm@nm>;tag=root#015
SOMEDATETIME SOMEIP To: <sip:nm2@nm2>#015
SOMEDATETIME SOMEIP Call-ID: 50000#015
SOMEDATETIME SOMEIP CSeq: 42 OPTIONS#015
SOMEDATETIME SOMEIP Max-Forwards: 70#015
SOMEDATETIME SOMEIP Content-Length: 0#015
SOMEDATETIME SOMEIP Contact: <sip:nm@nm>#015
SOMEDATETIME SOMEIP Accept: application/sdp#015
SOMEDATETIME SOMEIP #015

答案1

这是某人对您的服务器运行 Nmap 扫描的结果 - Nmap 找到一个开放的 TCP 端口,然后发送各种数据包,试图发现该端口上是否有任何常见的服务类型(HTTP、RTSP、SIP 等)处于活动状态。

(我刚刚尝试在我正在开发的服务器应用程序上运行 Zenmap 7.40,并记录了完全相同的字符串序列)。

答案2

我发现这种行为的解释在 rsyslog 配置中。默认情况下,rsyslog 接受来自端口 514 的 UDP 输入,并将任何传入的包记录到消息、syslog 和 usr.log 日志文件中。这是因为 rsyslog 默认也配置为充当远程日志记录服务。可以通过注释来禁用此功能

#$ModLoad imudp
#$UDPServerRun 514
#$ModLoad imtcp
#$InputTCPServerRun 514

在 /etc/rsyslog.conf 中

答案3

您显示的日志并不是非常有帮助:不清楚 SOMEIP 是否总是相同,或者 SOMEDATETIME 是否有很大差异,或者它们都发生在一次突发事件中,或者它们聚集在一些少数时间间隔周围。

无论如何,它们基本上是试图联系您未运行的 Web 服务器,因此消息被记录到 /var/log 而不是/var/log/apache2或类似的东西。有人会花这么多精力试图撬开未监听的 Web 服务器,这似乎有点奇怪,请确保您这样做不是通过检查输出来运行 Web 服务器

 ss -lntp

用于监听标准(80,443)或非标准端口的服务器。

其余日志变得更加有趣,因为它们记录了通过您的 Web 服务器(PBX,根据您的 OP,您没有运行该服务器)联系 PBX 的尝试。然而,协议(SIP)、地址、<sip:nm@nm>会话描述协议Accept: application/sdp)都充分证明了这一点。

再说一遍,你确定你没有运行PBX?看来有人在你的机器上植入了病毒。如果如果你认为你的机器没有被入侵,那么命令

ss -lnup

(对于 UDP 协议,而不是 TCP 协议)将告诉您哪个进程正在监听哪个端口。

,如果您的机器被入侵,上述内容可能完全不会报告任何可疑情况,而实际上确实有很多非法行为正在发生。您可以尝试通过下载并运行chkrootkit和来缓解您的恐惧(唉,这是有根据的) rkhunter。您也可以阅读此处(抱歉引用了我的回答,我知道这并不好,但它帮我省了一些工作)。最重要的是,你应该问自己:我是否禁用了 ssh 上的密码登录并改为引入加密密钥?如果这个问题的答案是,那么您的机器很可能已被入侵。然后您应该从头开始重新安装,并按照上面的说明禁用密码登录,转而ssh使用公钥/私钥,这要安全得多。

相关内容