奇怪的 ssh 登录

tag-icon tag-icon linux security ssh
奇怪的 ssh 登录

我正在运行 debian 服务器,我收到一封关于 ssh 登录的奇怪的电子邮件警告,它说,用户邮件使用 ssh 从远程地址登录:

Environment info:
USER=mail
SSH_CLIENT=92.46.127.173 40814 22
MAIL=/var/mail/mail
HOME=/var/mail
SSH_TTY=/dev/pts/7
LOGNAME=mail
TERM=xterm
PATH=/usr/local/bin:/usr/bin:/bin:/usr/bin/X11:/usr/games
LANG=en_US.UTF-8
SHELL=/bin/sh
KRB5CCNAME=FILE:/tmp/krb5cc_8
PWD=/var/mail
SSH_CONNECTION=92.46.127.173 40814 my-ip-here 22

我查看了 /etc/shadow 并发现没有设置密码

mail:*:15316:0:99999:7:::

我在 auth.log 中找到了以下用于登录的行

n  3 02:57:09 gw sshd[2090]: pam_winbind(sshd:auth): getting password (0x00000388)
Jun  3 02:57:09 gw sshd[2090]: pam_winbind(sshd:auth): pam_get_item returned a password
Jun  3 02:57:09 gw sshd[2091]: pam_winbind(sshd:auth): user 'mail' granted access
Jun  3 02:57:09 gw sshd[2091]: Accepted password for mail from 92.46.127.173 port 45194 ssh2
Jun  3 02:57:09 gw sshd[2091]: pam_unix(sshd:session): session opened for user mail by (uid=0)
Jun  3 02:57:10 gw CRON[2051]: pam_unix(cron:session): session closed for user root

并且该用户多次验证失败。该用户没有包含 COMMAND 字符串的行。

使用“rkhunter”和“ps aux”进程检查没有发现任何内容,使用“netstat”也没有发现任何可疑连接(正如我所见)

更新型多巴胺忘了说:登录时间相对较短 - 根据“wtmp”日志,最长的登录时间为 26 秒

有人能告诉我这是怎么可能的吗以及还需要做什么吗?提前谢谢。

答案1

首先断开系统与互联网的连接。

看起来攻击者已经能够获得系统的 root 访问权限。

如果此系统使用的密码曾在其他地方使用过,请更改。

告知您的用户。

重新映像系统。

更改所有密码。

答案2

我会首先输入“92.46.127.173” - 我猜测这是他们的 IP 地址/etc/hosts.deny-ALL: 92.46.127.173 这样可以阻止他们再次进入。

然后ps aux|grep ssh找出哪个 ssh 进程是他们的,然后以 root 身份 killitdeadwithfire ( kill -9 {that process PID}) - 如果他们已登录,这将终止他们当前的 shell 连接

您也在这个服务器上运行 Samba 吗?pam_winbind 的内容看起来很像一个漏洞。

可能值得安装拒绝主机或者失败禁止也可以捕获更多的暴力破解尝试。

答案3

那么,它是如何做到的以及为什么它是可能的:这是通常的暴力攻击(我没有保护系统免受攻击),但有几个先决条件:

1)系统加入广告

2)winbind 在系统上配置并运行

3)Linux PC 和 AD 中有这样的用户名,并且 /etc/passwd 中有正常的 shell(有趣的是,为什么 Debian 系统用户默认有 /bin/sh)

4) /etc/pam.d/ssh 配置为使用 winbind 密码,ssh 服务器配置为使用 PAM(它们都默认以这种方式配置)

因此,如果 Linux 上有同名用户,任何域用户都可以使用其凭据登录。

相关内容