我收到一个抱怨说我的系统做了无效的ssh尝试。 我做了我的调查,发现没有相关的日志条目。 但有一件事让我很吃惊,就是执行命令
rpm -qa|xargs rpm -V|grep ^S 列出/ usr / sbin / suexec为S .5....T /usr/sbin/suexec
这是否表明我的系统或Apache受到攻击? 请指导我,因为我发现目前没有出站sshstream量,但受害者系统上的日志表明过去已经存在。
RPMvalidation校验和不匹配(你上面描述的)肯定是可疑的。 结合来自“受害者”服务器的日志显示您的机器已经做了一些令人讨厌的事情,剩下三种可能性:
你的一个用户是一个滋扰。
解决scheme:find用户,撤销他们的帐户,然后支付他们的访问,并打败他们明智的。
一些辅助程序已经被攻破(例如,您的Web服务器上的CGI / PHP代码),并允许外部攻击者执行任意代码。
解决scheme:查看您的Apache和/或脚本日志,看看是否有什么奇怪的事情发生。 closures这个洞。
你的盒子已经扎根了(并且安装了后门的suexec)。
解决scheme: 访问这个问题和其他几个谈论验尸程序。 重build机器。
如果你不能解释为什么 suexec的校验和与RPM认为它应该是什么不一致的话,那么偏执狂就会决定擦除机器并从已知好的安装介质中重新安装。 如果您的RPM校验和“始终匹配之前”尤其如此…
请注意,您的计算机没有必要为了让某人从中启动SSH攻击而运行(运行ssh客户端二进制文件不需要任何特殊的权限,除了能够打开networking套接字并与远程主机端口22 – 大多数机器允许这个)。
因此, 您的日志可能不会显示任何内容,特别是如果攻击者获得访问权限,请坐在他们的手中一段时间(直到他们违规的证据从您的日志系统中旋转出来), 然后开始从您的框中发起攻击。
networkingstream量日志(networkingstream量数据等)可能会显示“exception”stream量模式 – 例如大量的“stream量”,“连接”或者stream量相对较低的高数据包速率(每秒位数),但是您需要一个可靠的外部监视器(路由器/防火墙,您的ISP等)来提供这些数据,以使其具有法医实用性。