Ich habe jetzt ein halbes Jahr ein VPS gemietet (zu Lernzwecken) und ich habe versucht, so viel wie möglich zu lernen, um es sicher zu halten.
Vor kurzem wurde es kompromittiert und ich vermute, dass es eine Woche vor der Realisierung als jemandes Stellvertreter verwendet wurde. Ich hatte Protokolle von anonymen Benutzern und niemandem, die sich über SSH an- und abmelden, und die CPU-Auslastung war buchstäblich außerhalb des Diagramms.
Auf jeden Fall habe ich es neu installiert und alles, was ich wusste, erneut angewendet, um zu testen, ob es erneut vorkommt. Innerhalb von 24 Stunden nach der Neuinstallation glaube ich, dass dies der Fall war.
Hier sind die jeweiligen Protokolle, aus /var/log/auth.logdenen ich mich paranoid fühle:
Oct 31 06:30:21 vultr su[24157]: Successful su for nobody by root Oct 31 06:30:21 vultr su[24157]: + ??? root:nobody Oct 31 06:30:21 vultr su[24157]: pam_unix(su:session): session opened for user nobody by (uid=0) Oct 31 06:30:21 vultr systemd: pam_unix(systemd-user:session): session opened for user nobody by (uid=0) Oct 31 06:30:21 vultr systemd-logind[503]: New session 40 of user nobody. Oct 31 06:30:24 vultr su[24157]: pam_unix(su:session): session closed for user nobody Oct 31 06:30:24 vultr systemd-logind[503]: Removed session 40.
Ich war nicht derjenige, der sich morgens um 6:30 Uhr authentifizierte, also bin ich natürlich besorgt, dass ich irgendwo wieder versaut habe ...
(Anmerkung: .bash_historyvon rootzeigt nichts verdächtiges, und soweit ich weiß, hat der Benutzer nobodykeine .bash_history- korrigieren Sie mich, wenn ich falsch liege)
Die Kennwortauthentifizierung ist für SSH deaktiviert, es ist nur die SSH-Schlüsselauthentifizierung möglich, weshalb ich wirklich verwirrt bin, was als nächstes probiert werden soll, da es immer noch jemand geschafft hat, Zugriff zu erhalten (denke ich).
Ich habe diesen Artikel über einen phpMyAdmin-Exploit gelesen, bei dem der Angreifer Zugriff auf den Benutzer "nobody" erhalten hat. Ich glaube jedoch nicht, dass dies auf meinen Fall zutrifft, da laut meinen Apache-Protokollen keine Versuche unternommen wurden, auf die phpMyAdmin-Seite zuzugreifen, ganz zu schweigen davon, dass der Artikel aus dem Jahr 2010 stammt und meine phpMyAdmin-Seite momentan noch nicht verfügbar ist .
Die Art der Anfragen, die Apache erhält, beunruhigt mich jedoch ein wenig. Hier ein Beispiel (von /var/log/apache2/access.log):
my ip - - [31/Oct/2015:14:47:58 +0000] "GET / HTTP/1.1" 200 589 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/44.0.2403.130 Safari/537.36"
Ich verstehe nicht, was durch den Versuch erreicht wird
"GET http://testp4.pospr.waw.pl/testproxy.php"
von meinem Server. Es gibt keine solche Datei oder ein solches Verzeichnis in/var/www/html
Ich liste alle Dinge auf, die ich unternommen habe, um nach der Neuinstallation sicher zu bleiben. Bitte machen Sie darauf aufmerksam, wenn Sie der Meinung sind, dass ich etwas falsch gemacht habe oder wenn Sie überhaupt nichts getan haben.
Was ich getan habe:
Neuinstallation von Ubuntu 15.04
Öffentliches und privates Schlüsselpaar generieren
Fügen Sie meinen öffentlichen Schlüssel zu meiner authorized_keysDatei auf meinem Server hinzu
Ändern Sie diese Einstellungen in /etc/ssh/sshd_config, um die Kennwortauthentifizierung zu deaktivieren und nur die SSH-Schlüsselauthentifizierung zuzulassen
PermitRootLogin without-password RSAAuthentication yes PubkeyAuthentication yes PasswordAuthentication no
Starten Sie neu
Installiere die Dinge, die ich brauche, in dieser Reihenfolge:
Alles andere, was ich nicht erwähnt habe, ist standardmäßig eingestellt, die gesamte installierte Software ist auf dem neuesten Stand.
Bitte lassen Sie mich wissen, ob die Protokolle, die ich zuvor gezeigt habe, ein Grund zur Sorge sind. Ich wäre auch sehr dankbar, wenn Sie mir sagen könnten, ob meine Konfiguration falsch ist und was ich tun kann, um meine Sicherheit weiter zu verbessern. Wenn Sie darüber hinaus gute Artikel zu diesem Thema kennen, wäre dies auf lange Sicht sehr hilfreich.
Weitere Informationen zum Benutzer "niemand": https://askubuntu.com/questions/329714/what-is-the-purpose-of-the-nobody-user
vor 8 Jahren
0
@AustinHartzheim Danke für den Link!
vor 8 Jahren
0
1 Antwort auf die Frage
0
Stuart Cardall
Führen Sie hiawatha Webserver als reverse proxyvor Ihrem Webserver. Es wird Exploits wie diese blockieren (sie werden als " Müll " blockiert ) in den Protokollen: