如何检测系统是否正在进行未经授权的 ssh 攻击

如何检测系统是否正在进行未经授权的 ssh 攻击

我收到投诉,说我的系统进行了无效的 ssh 尝试。我进行了调查,没有发现任何相关的日志条目。但有一件事让我感到惊讶,那就是执行命令

rpm -qa|xargs rpm -V|grep ^S

将 /usr/sbin/suexec 列为 S .5....T /usr/sbin/suexec

这是否表明我的系统或 Apache 已受到攻击。请指导我,因为我发现目前没有出站 ssh 流量,但受害系统上的日志表明过去曾有过。

答案1

RPM Verify 校验和不匹配(如上文所述)肯定是可疑的。结合“受害者”服务器的日志显示您的机器一直在做一些恶意的事情,我剩下三种可能性:

  1. 您的一位用户正在制造麻烦。
    解决方案:找到该用户,撤销他们的账号,然后拜访他们并给予明智的惩罚。

  2. 一些辅助程序已被破坏(例如,您的 Web 服务器上的 CGI/PHP 代码),并允许外部攻击者执行任意代码。
    解决方案:检查您的 Apache 和/或脚本日志,看看是否发生任何异常情况。堵住漏洞。

  3. 你的机器已经被root(并且安装了后门的suexec)。
    解决方案: 访问这个问题以及其他几篇讨论验尸程序的文章。重建机器。


如果你无法解释为什么suexec 的校验和与 RPM 认为的不匹配,偏执狂会要求清除机器并从已知良好的安装介质重新安装。如果您的 RPM 校验和“以前总是匹配”,则尤其如此...

请注意,您的机器不需要被 root 权限,其他人就可以从它发起 SSH 攻击(运行ssh客户端二进制文件不需要任何特殊权限,只需能够打开网络套接字并与端口 22 上的远程主机通信即可 - 大多数机器都允许这样做)。
因此你的日志可能不会显示任何内容,特别是如果攻击者获得了访问权限,袖手旁观一段时间(直到他们入侵的证据从你的日志系统中消失),并且然后开始从你的盒子发起攻击。

网络流量日志(netflow 数据等)可能显示“不寻常的”流量模式 - 例如大量的“流”、“连接”或每秒数据包速率较高但流量(每秒位数)相对较低的情况,但您需要一个可靠的外部监视器(路由器/防火墙、您的 ISP 等)来提供该数据,以使其具有取证用途。

相关内容