我有几台在局域网上运行CentOS 5.11的主机。 最近,我们已经从非授权用户尝试sudo命令中获得相当正规的sudo警报(通过电子邮件)。 被谷歌search的情况下,企图命令是已知的黑客,或已知的“工具”,可以触发这些。
模式是相当规则的,通常大约每小时两次从多个主机提醒 – 非常不可能是人类,因此。
警报本身总是其中之一:
myhost01:10月29日17:50:41:tzx:用户不在sudoers; TTY = pts / 0; PWD = / home / tzx; USER = root; COMMAND = lsof -nP + c0 -i4TCP
要么
myhost02:10月29日18:16:39:tzx:用户不在sudoers; TTY = pts / 0; PWD = / home / tzx; USER = root; COMMAND = parted -l
用户“tzx”是有效的Linux用户 – 通常用于运行系统服务或cron作业,但也允许SSHlogin(以防止以root身份执行任何function)。 我在一个或两个受影响的主机上使用了“last”,我从用户tzx看到shell会话,每个会话不到一分钟,大致对应于我们得到的警报。 而且,所有这些会话似乎来自局域网上的同一个源主机(我也在挖掘)。
有没有人看到这种stream量? 任何已知的工具,黑客/探测器或其他“事物”往往会尝试这个?
我的一半人认为我有一些用户使用某种嘈杂(和八卦)的工具,另一半认为这是一个更严重的问题。
已解决:其中一个pipe理员在局域网上安装了Spiceworks,可以访问该用户帐户,Spiceworks试图运行这些警报命令来完成其监控任务。 这是一个很大的缓解 – 无论如何这个显然没有恶意的stream量。 现在在这里为后人。