我正在运行的debian服务器,我收到了一个奇怪的电子邮件警告关于SSHlogin它说,用户的邮件login使用ssh从远程地址:
Environment info: USER=mail SSH_CLIENT=92.46.127.173 40814 22 MAIL=/var/mail/mail HOME=/var/mail SSH_TTY=/dev/pts/7 LOGNAME=mail TERM=xterm PATH=/usr/local/bin:/usr/bin:/bin:/usr/bin/X11:/usr/games LANG=en_US.UTF-8 SHELL=/bin/sh KRB5CCNAME=FILE:/tmp/krb5cc_8 PWD=/var/mail SSH_CONNECTION=92.46.127.173 40814 my-ip-here 22 我查看了/ etc / shadow,发现密码没有设置
mail:*:15316:0:99999:7:::
我在auth.log中发现了这行代码
n 3 02:57:09 gw sshd[2090]: pam_winbind(sshd:auth): getting password (0x00000388) Jun 3 02:57:09 gw sshd[2090]: pam_winbind(sshd:auth): pam_get_item returned a password Jun 3 02:57:09 gw sshd[2091]: pam_winbind(sshd:auth): user 'mail' granted access Jun 3 02:57:09 gw sshd[2091]: Accepted password for mail from 92.46.127.173 port 45194 ssh2 Jun 3 02:57:09 gw sshd[2091]: pam_unix(sshd:session): session opened for user mail by (uid=0) Jun 3 02:57:10 gw CRON[2051]: pam_unix(cron:session): session closed for user root
以及此用户的许多身份validation失败。 此用户没有COMMANDstring的行。
没有发现“rkhunter”和“ps aux”进程检查,也没有发现与“netstat”(我可以看到)的可疑连接,
UPD忘了提及:login相对较短 – 根据“wtmp”日志,最长26秒
谁能告诉我怎么可能,还有什么应该做的? 提前致谢。
首先从互联网断开系统。
看起来攻击者能够获得系统的root权限。
如果在其他地方使用了此系统上使用的密码,请更改它们。
通知您的用户。
重新映像系统。
更改所有密码。
我首先把“92.46.127.173”(我认为是他们的IP地址)放到/etc/hosts.deny ,这样ALL: 92.46.127.173 – 这样可以阻止他们重新进入。
然后执行ps aux|grep ssh并确定哪个ssh进程是他们的,并以root身份执行,killitdeadwithfire( kill -9 {that process PID} ) – 这将终止当前shell连接,如果它们已经login
你还在这个服务器上运行Samba吗? 关于pam_winbind的东西看起来像一个漏洞可疑。
可能值得安装denyhosts或Fail2Ban ,以获得更多的bruteforce尝试。
那么,它是如何实现的以及为什么这是可能的:这是通常的powershell攻击(我没有保护系统),但有几个先决条件:
1)系统join广告
2)在系统上configuration并运行winbind
3)在linux pc和AD上有这样的用户名,在/ etc / passwd中有正常的shell(有趣的是,为什么Debian系统用户默认是/ bin / sh)
4)/etc/pam.d/sshconfiguration为使用winbind密码和configuration为使用PAM的ssh服务器(默认情况下都是这样configuration的)
结果是任何域用户都可以用他的凭据login,如果在linux上有同名用户的话。