Я получил эту цепочку записей журнала (и аналогичные неоднократно) на моем сервере:
Nov 24 07:38:59 server sshd[28676]: SSH: Server;Ltype: Version;Remote: 54.38.81.12-40482;Protocol: 2.0;Client: OpenSSH_7.2p2 Ubuntu-4ubuntu2.4
Nov 24 07:38:59 server sshd[28676]: SSH: Server;Ltype: Kex;Remote: 54.38.81.12-40482;Enc: aes128-cbc;MAC: umac-64-etm@openssh.com;Comp: none [preauth]
Nov 24 07:39:00 server sshd[28676]: SSH: Server;Ltype: Authname;Remote: 54.38.81.12-40482;Name: anonymous [preauth]
Nov 24 07:39:00 server sshd[28676]: Accepted none for anonymous from 54.38.81.12 port 40482 ssh2
Nov 24 07:39:01 server sshd[28681]: refused local port forward: originator 127.0.0.1 port 46338, target 167.114.159.146 port 80
Nov 24 07:39:01 server sshd[28681]: refused local port forward: originator 127.0.0.1 port 47552, target 167.114.159.146 port 80
...
Nov 24 07:39:19 server sshd[28681]: Disconnected from 54.38.81.12
Я почти уверен, что это была хакерская атака, но как узнать, была ли она успешной? Особенно непонятно сообщение «Не принято для анонимного». Означает ли это, что у меня есть учетная запись пользователя с именем анонимный которому разрешен вход без пароля, и хакер вошел в систему как анонимный и пытались перенаправить некоторые локальные порты (и могут быть некоторые из них, которые были перенаправлены успешно, поэтому они не попали в журнал)?
Пытался войти как анонимный стандартным способом из локальной сети (ssh anonymous@server
) но получил доступ запрещен сообщение.
Если меня не взламывали, как мне защититься от такого рода атак? Уже установлено fail2ban из-за других подозрительных записей журнала, но это произошло после установки.
Изменить 1:
Проверил /etc/ssh/sshd_config
файл и обнаружил, что PermitEmptyPasswords
был установлен на no
. Так что все должно быть в порядке.
Изменить 2:
Я не знаю /proc
файловая система, но вот что я обнаружил:
user@server:~$ sudo file /proc/5931/exe
/proc/5931/exe: broken symbolic link to /usr/bin/sshd
user@server:~$ sudo which sshd
/usr/sbin/sshd
ОК, file
утилита сообщает, что это неработающая символическая ссылка, но если я попробую sudo hexdump /proc/5931/exe
Я получаю данные. Это нормально?
Изменить 3:
Теперь я знаю, в чем причина Редактировать 2. Я смешиваю две системы вместе. Я запускаю Chrooted Debian Stretch на Synology NAS. И есть процессы как из этого Debian, так и из Synology DSM в файловой системе / proc. Каждая из систем имеет другое местоположение исполняемого файла sshd.
Изменить 4:
Это то, что less /proc/*/cmdline
показывает:
/usr/bin/sshd^@
sshd: user [priv]
sshd: user@pts/4^@
/usr/sbin/sshd^@
sshd: user [priv]
sshd: user@pts/3^@
Изменить 5:
Я знаю, что здесь показан не сам подозрительный логин. (Заменить user
с моим именем пользователя (этот вывод полностью анонимизирован). Проблема в том, что мне нужно было отслеживать процесс, пока анонимный Пользователь вошел в систему. Он внезапно отключается, и я не могу наблюдать за процессом вживую. Как мне создать ловушку, чтобы я мог реагировать на анонимный Логин пользователя?
Понял, что пользователь анонимный присутствует только в системе Synology DSM. Возможно ли, что журналы из системы DSM записываются также в chrooted Debian? Пытался отключить службы FTP и SFTP, потому что этот пользователь принадлежит ftp группа, но пользователь остается там. Нет ни passwd
ни usermod
в системе DSM, поэтому я не знаю, как отключить доступ для этого пользователя. анонимный его оболочка установлена на /sbin/nologin
поэтому не должно быть даже возможности войти в систему через SSH и попробовать перенаправить порт.
Изменить 6:
Изучил конфигурацию SSH в системе Synology DSM. Я изменил некоторые настройки:
#PermitEmptyPasswords no
-> раскомментированный
# allow the use of the none cipher
#NoneEnabled no # uncommented
Edit 6, похоже, решил проблему (по крайней мере, такие журналы атак исчезли):
Изучил конфигурацию SSH в системе Synology DSM. Ну, я изменил некоторые настройки:
#PermitEmptyPasswords no
-> раскомментированный# allow the use of the none cipher #NoneEnabled no # uncommented