Re: =?iso-8859-1?Q?G=F6ra_burken_s=E4ker?= =?iso-8859-1?Q?=3F?=

[Tomas Nykung]

On Tue, Mar 01, 2005 at 10:22:54AM +0100, timebandit wrote:

F�rst vill jag s�ga att jag �r ingen expert p� s�kerhet, s� ta mina
p�st�enden med en nypa salt, men h�r har du �nd� min tolkning av det du
ser i din logg... :)


> Mitt f�rsta intr�ng imorse d� :/
> N�gra bra s�tt/knep/rekommendationer att g�ra burken s�krare?
> K�r Debian testing med 2.4.29 och endast f�tal portar �ppna som,
> 22,25, 80,161, 443, 993...
> Mar  1 04:51:40 DZN sshd[23046]: Failed password for illegal user sonya from 
> 198.104.144.59 port 42522 ssh2
> Mar  1 04:51:41 DZN sshd[23050]: Illegal user tony from 198.104.144.59
> Mar  1 04:51:41 DZN sshd[23050]: error: Could not get shadow information for 
> NOUSER
> Mar  1 04:51:41 DZN sshd[23050]: Failed password for illegal user tony from 
> 198.104.144.59 port 42561 ssh2
> Mar  1 04:51:43 DZN sshd[23052]: Illegal user just from 198.104.144.59
> Mar  1 04:51:43 DZN sshd[23052]: error: Could not get shadow information for 
> NOUSER
> Mar  1 04:51:43 DZN sshd[23052]: Failed password for illegal user just from 
> 198.104.144.59 port 42604 ssh2
> Mar  1 04:51:44 DZN sshd[23054]: Illegal user justice from 198.104.144.59
> Mar  1 04:51:44 DZN sshd[23054]: error: Could not get shadow information for 
> NOUSER
> Mar  1 04:51:44 DZN sshd[23054]: Failed password for illegal user justice 
> from 198.104.144.59 port 42646 ssh2
> Mar  1 04:51:46 DZN sshd[23056]: Illegal user bank from 198.104.144.59
> Mar  1 04:51:46 DZN sshd[23056]: error: Could not get shadow information for 
> NOUSER
> Mar  1 04:51:46 DZN sshd[23056]: Failed password for illegal user bank from 
> 198.104.144.59 port 42695 ssh2
> Mar  1 04:51:47 DZN sshd[23060]: Illegal user vip from 198.104.144.59
> Mar  1 04:51:47 DZN sshd[23060]: error: Could not get shadow information for 
> NOUSER
> Mar  1 04:51:47 DZN sshd[23060]: Failed password for illegal user vip from 
> 198.104.144.59 port 42735 ssh2

"normala" ssh attackf�rs�k, inget som lyckades vad jag f�rst�r av
dessa rader.


> Mar  1 06:25:04 DZN su[26029]: + ??? root:nobody
> Mar  1 06:25:04 DZN su[26029]: (pam_unix) session opened for user nobody by 
> (uid=0)

Kika under /etc/cron.daily/ s� ska du se att d�r finns ett skript som
heter find. Deth�r skriptet k�r updatedb, som uppdaterar locate
databasen, dvs g�r s� att du kan k�ra locate "filnamn", och f� reda p�
var en fil befinner sig, t. ex. kommandot locate resolv.conf ber�ttar
att filen resolv.conf finns under /etc/resolv.conf.

Deth�r skriptet (find), k�rs om jag f�rst�tt saken r�tt, som anv�ndaren
nobody, dvs cron som k�r find skriptet k�rs som root, men innan updatedb
k�rs s� byts anv�daren till nobody, av s�kerhetssk�l, eftersom det inte
beh�vs root r�ttigheter f�r att k�ra det, och root ska man ju inte k�ra
i on�dan, vilket �ven detta skript respekterar :)
Skripten under /etc/cron.daily k�rs kl. 06:25, vilket du kan se (och
�ven �ndra p� om du vill) i filen /etc/crontab.

Det �r allts�, s�vitt jag kan f�rst�, r�tta mig g�rna n�gon med mera
insikt om crons innersta v�sen :), deth�r du ser i loggraderna ovan, och
jag tvivlar mycket starkt p� att n�gon verkligen brutit sig in.


> �ven en massa Failed password for root som finns i loggarna :/ Dem

Som andra redan p�pekat,
PermitRootLogin no
AllowUsers anv�ndarnamn1 anv�ndarnamn2 osv (f�r de anv�ndare du vill
till�ta att logga in via ssh)
f�r s�kerhets skull i /etc/ssh/sshd_conf skadar inte.


> lyckades tydligen ta sig in i morse men han dra ut n�tverkskabeln innan
> dem gjorde n�n skada... dem k�rde n�tt med find men hittar inget i
> loggarna d�r det visar vad dem gjorde :/

Som sagt, deth�r �r troligen ett helt normalt cron jobb, kika under
/etc/cron.daily s� ser du allt vad som g�rs kl. 6:25 varje morgon.


Tomas


-- 
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]