我在 LAN 上有几个运行 CentOS 5.11 的主机。最近,我们经常收到未经授权的用户尝试使用 sudo 命令发出的 sudo 警报(通过电子邮件)。我一直在谷歌搜索,以防尝试的命令是已知的黑客行为,或者是已知的可以触发这些命令的“工具”。
模式相当有规律,通常每小时两次由多个主机发出警报——因此,不太可能是人类发出的。
警报本身始终是以下两种之一:
myhost01:10 月 29 日 17:50:41:tzx:用户不在 sudoers 中;TTY=pts/0;PWD=/home/tzx;用户=root;命令=lsof -nP +c0 -i4TCP
或者
myhost02 :10 月 29 日 18:16:39 :tzx :用户不在 sudoers 中;TTY=pts/0;PWD=/home/tzx;USER=root;COMMAND=parted -l
其中用户“tzx”是有效的 Linux 用户 - 通常用于运行系统服务或 cron 作业,但也允许 SSH 登录(以防止以 root 身份执行任何功能)。我在一两个受影响的主机上使用过“last”,我看到来自用户 tzx 的 shell 会话,每个会话不到一分钟,大致与我们收到的警报相对应。而且,所有这些会话似乎都来自 LAN 上的同一源主机(我也在研究它)。
有人见过这种流量吗?有没有什么已知的工具、黑客/探测器或其他“东西”会尝试这种做法?
一方面,我认为有些用户使用了某种嘈杂(且爱管闲事)的工具,另一方面,我认为这是一个更严重的问题。
答案1
已解决:其中一位管理员在 LAN 上安装了 Spiceworks,并可以访问此用户帐户,而 Spiceworks 正试图运行这些已发出警报的命令来完成其监控任务。这真是令人欣慰——显然这台机器上没有恶意流量。现在就在这里,供后人参考。