У меня есть несколько хостов с CentOS 5.11 в локальной сети. В последнее время мы получаем довольно регулярные предупреждения sudo (по электронной почте) о попытках выполнения команд sudo неавторизованными пользователями. Выполнял поиск в Google на случай, если запрошенные команды являются известными взломами или известными «инструментами», которые могут их запускать.
Шаблон довольно регулярный, обычно примерно два раза в час, о котором предупреждают несколько хостов - поэтому очень маловероятно, что это человек.
Сами предупреждения всегда являются одним из этих двух:
myhost01: 29 октября 17:50:41: tzx: пользователь НЕ в sudoers; TTY = баллы / 0; PWD = / home / tzx; ПОЛЬЗОВАТЕЛЬ = корень; КОМАНДА = lsof -nP + c0 -i4TCP
или
myhost02: 29 октября 18:16:39: tzx: пользователь НЕ в sudoers; TTY = баллы / 0; PWD = / home / tzx; ПОЛЬЗОВАТЕЛЬ = корень; КОМАНДА = parted -l
где пользователь «tzx» является допустимым пользователем Linux - обычно используется для запуска системных служб или заданий cron, но также разрешен для входа в систему по SSH (чтобы предотвратить выполнение любой из функций от имени пользователя root). Я использовал "последний" на одном или двух затронутых хостах, и я вижу сеансы оболочки от пользователя tzx продолжительностью менее одной минуты каждый, что примерно соответствует получаемым нами предупреждениям. И все эти сеансы, похоже, происходят с одного и того же исходного хоста в локальной сети (в котором я тоже копаюсь).
Кто-нибудь видел такой трафик? Какие-нибудь известные инструменты, хаки / зонды или другие "вещи", которые могут попробовать это?
Половина меня думает, что у меня есть пользователь с каким-то шумным (и любопытным) инструментом, а другая половина думает, что это более серьезная проблема.
РЕШЕНО: один из администраторов установил Spiceworks в локальной сети с доступом к этой учетной записи, и Spiceworks пытался запустить эти предупрежденные команды для выполнения своих задач мониторинга. Это большое облегчение - очевидно, что вредоносного трафика на этом нет. А теперь для потомков.