it-swarm.com.de

Gibt es ein natives Protokoll für ausgehende SSH-Befehle?

Auf einem Ubuntu 16.04-Server erhielt ich von meinem Internetdienstanbieter eine Warnung, dass meine IP-Adresse zum Angriff auf andere Hosts verwendet wurde. Folgendes war beigefügt:

May 23 22:42:07 shared02 sshd[23972]: Invalid user ircd from <my-ip>
May 23 22:42:07 shared02 sshd[23972]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=<my-ip>
May 23 22:42:09 shared02 sshd[23972]: Failed password for invalid user ircd from <my-ip> port 54952 ssh2
May 23 22:42:09 shared02 sshd[23972]: Received disconnect from <my-ip> port 54952:11: Normal Shutdown, Thank you for playing [preauth]
May 23 22:42:09 shared02 sshd[23972]: Disconnected from <my-ip> port 54952 [preauth]

Ich überprüfte das Protokoll unter /var/log/auth.log und stellte fest, dass auf meinem eigenen Server mindestens 10 Tage lang ein Wörterbuchangriff stattgefunden hatte und irgendwann ein schwaches Benutzerkennwort geknackt wurde.

Ich gehe davon aus, dass der angreifende Bot diesen Zugang genutzt hat, um andere Ziele anzugreifen, weshalb ich die vorherige Warnung erhalten habe. Ich weiß jedoch nicht, wo diese Aktivität protokolliert worden sein könnte. Gibt es eine Datei, die diese Informationen nativ in Ubuntu-Systemen enthält?

Als Bonusfrage bemerkte ich auch, dass der Bot versuchte, sich als root von diesem Benutzer anzumelden, aber soweit ich das beurteilen kann, versuchte er nicht, einen Befehl für Sudo auszuführen. Warum sollte das nicht der Fall sein?

2
Angry Cub

Im Allgemeinen gibt es keine Protokolle zu ausgehenden Ereignissen, da davon ausgegangen wird, dass jemand sie angefordert hat.

Abhängig davon, wie sich Ihr Angreifer angemeldet hat und wie er angegriffen hat, befinden sich möglicherweise Einträge in verschiedenen Verlaufsdateien (z. B. ~/.bash_history). In syslogs sind jedoch keine Einträge vorhanden, es sei denn, Sie fügen ausdrücklich Regeln hinzu, um dies zu protokollieren. Wenn Sie möchten, können Sie einrichten Protokollierung ausgehender Verbindungen, wobei einige Sorgfalt darauf verwendet werden muss, nur das zu protokollieren, was Sie tun möchten. Ein solches Beispiel ist verfügbar im Fedora-Forum und nutzt iptables.

Wie für Ihre Root-Login-Frage. Im Allgemeinen ist es den Angreifern egal, ob sie Root-Zugriff erhalten. Sie möchten nur, dass ein anderer Server ihre Angriffsskripte ausführt. root ist Teil des Wörterbuchs, das für Benutzerangriffe verwendet wird, nur für den seltenen Fall, dass jemand ein Root-Konto mit einem schwachen Passwort aktiviert hat. Darüber hinaus gibt es keine Garantie, dass sich ein Benutzer in /etc/sudoers befindet, und Sie verschwenden wertvolle Angriffszeit, um festzustellen, ob ein Benutzer (unnötig) Sudo Zugriff hat.

0
Kaz Wolfe