Я использую сервер VPS ubuntu, на котором я установил fail2ban. Я отключил root-вход и отключил доступ по паролю. Сегодня, увидев мой статус auth.log и fail2ban, я беспокоюсь, если кто-то получил доступ к моей системе.
Я также видел, как мое ssh-соединение отключалось, сообщая, что порт сброшен с помощью SOME_IP. Еще одна вещь, которую я заметил, - это изменение пути к моему рабочему каталогу с root @ ubuntu-1: / home / dadu # на root @ ubuntu-1: / home / dadu # (т.е. дважды), когда я ввожу команду clear .
Я новичок в Ubuntu. Скажите, пожалуйста, получил ли кто-нибудь доступ к моей системе.
|- Filter
| |- Currently failed: 0
| |- Total failed: 119
| `- File list: /var/log/auth.log
`- Actions
|- Currently banned: 1
|- Total banned: 2
`- Banned IP list: 185.43.209.173
root@ubuntu-1:/home/dadu# sudo fail2ban-client status
Status
|- Number of jail: 1
`- Jail list: sshd
root@ubuntu-1:/home/dadu# sudo tail /var/log/auth.log
Sep 10 20:13:24 ubuntu-1 systemd: pam_unix(systemd-user:session): session opened for user dadu by (uid=0)
Sep 10 20:13:24 ubuntu-1 systemd-logind[895]: New session 94 of user dadu.
Sep 10 20:13:45 ubuntu-1 sudo: dadu : TTY=pts/0 ; PWD=/home/dadu ; USER=root ; COMMAND=/bin/su
Sep 10 20:13:45 ubuntu-1 sudo: pam_unix(sudo:session): session opened for user root by dadu(uid=0)
Sep 10 20:13:45 ubuntu-1 su[9436]: Successful su for root by root
Sep 10 20:13:45 ubuntu-1 su[9436]: + /dev/pts/0 root:root
Sep 10 20:13:45 ubuntu-1 su[9436]: pam_unix(su:session): session opened for user root by dadu(uid=0)
Sep 10 20:13:45 ubuntu-1 su[9436]: pam_systemd(su:session): Cannot create session: Already running in a session
Sep 10 20:15:19 ubuntu-1 sudo: root : TTY=pts/0 ; PWD=/home/dadu ; USER=root ; COMMAND=/usr/bin/tail /var/log/auth.log
Sep 10 20:15:19 ubuntu-1 sudo: pam_unix(sudo:session): session opened for user root by dadu(uid=0)
Sep 10 20:25:05 ubuntu-1 sshd[9899]: Disconnecting authenticating user root 112.123.58.229 port 59061: Too many authentication failures [preauth]
Sep 10 20:29:13 ubuntu-1 sshd[22499]: Received disconnect from 218.98.26.181 port 31528:11: [preauth]
Sep 10 20:29:13 ubuntu-1 sshd[22499]: Disconnected from authenticating user root 218.98.26.181 port 31528 [preauth]
Sep 10 20:30:12 ubuntu-1 sudo: root : TTY=pts/0 ; PWD=/home/dadu ; USER=root ; COMMAND=/usr/bin/fail2ban-client status sshd
Sep 10 20:30:12 ubuntu-1 sudo: pam_unix(sudo:session): session opened for user root by dadu(uid=0)
Sep 10 20:30:12 ubuntu-1 sudo: pam_unix(sudo:session): session closed for user root
Sep 10 20:32:38 ubuntu-1 sshd[22552]: Received disconnect from 218.98.40.139 port 35499:11: [preauth]
Sep 10 20:32:38 ubuntu-1 sshd[22552]: Disconnected from 218.98.40.139 port 35499 [preauth]
Sep 10 20:34:22 ubuntu-1 sudo: root : TTY=pts/0 ; PWD=/home/dadu ; USER=root ; COMMAND=/usr/bin/tail /var/log/auth.log
Sep 10 20:34:22 ubuntu-1 sudo: pam_unix(sudo:session): session opened for user root by dadu(uid=0)```
Вы не предоставили доказательств (или причин полагать), что ваша система была взломана. Когда вы отключаете ssh как root, вы не позволяете людям входить в SSH с использованием учетной записи root.
Здесь произошло то, что кто-то - даду (я так понимаю, это вы) повысил свои привилегии до root, чтобы делать некоторые вещи - это не ненормально. Если вы использовали какие-либо команды / скрипты, в которых используются «su» и «sudo ...», то это вы. Если вы уверены, что ни вы, ни кто-либо из ваших авторизованных лиц не отправили команду, ваша система, скорее всего, скомпрометирована. Конечно, fail2ban должен запускаться от имени пользователя root, поэтому, если вы его установили (или выполнили какое-либо общесистемное обновление программного обеспечения или подобное), это вероятное объяснение.
root @ ubuntu-1: / home / dadu #, появляющийся несколько раз, не свидетельствует о компромиссе, а скорее об ошибке / тривиально неправильной настройке конфигурации в вашей среде окна / bash, и не стоит беспокоиться.
Ничего особенного в ваших сообщениях из auth.log не вижу.
Чтобы проверить, кто подключался к вашей системе Linux, вы используете команду «последняя». Попробуйте "last -iwn10". См. «Последний мужчина» для объяснения.
Если есть только строки, которые вы можете отнести к законным действиям, вам не следует беспокоиться о злоупотреблении SSH (или о любом другом, где задействован вход в систему).
Сказав это, я должен отметить, что никогда не следует полагаться на локальные журналы потенциально скомпрометированной системы, потому что злоумышленник мог быть изменен ими. Это касается не только Linux, но и абсолютно любой компьютерной системы.
Конечно, можно заранее подготовиться. Например, они могут установить безопасный сервер регистрации и настроить соответствующий сервер для удаленной отправки всех системных журналов на этот сервер регистрации. Тогда, даже если злоумышленник проник на сервер и стер их внешний вид из локальных журналов, их появление все равно будет видно из журналов, собранных на удаленном сервере журналов. По-прежнему есть некоторые проблемы, но я не чувствую необходимости углубляться в детали.