Mar*_*ijn 12 security linux ssh ubuntu-10.04
在路由器后面运行 (X)Ubuntu 10.04.2 LTS。
我刚刚从那台机器上的 root 帐户收到一封电子邮件,主题如下:
*** SECURITY information for <hostname>:
消息正文包含此警告:
<hostname> : jun 1 22:15:17 : <username> : 3 incorrect password attempts ; TTY=unknown ; PWD=/ ; USER=root ; COMMAND=/bin/sh /tmp/tmpPHBmTO
我看不到任何/tmp/tmpPHBmTO文件,尽管有一个文件名为/tmp/tmpwoSrWW2011-06-01 22:14 的时间戳,所以就在提到的日期/时间之前。这是一个二进制文件,内容对我来说并不熟悉。此外,该文件只有-rw-------权限。
当我读到它时,这意味着某人(或某物)可以(有权)访问我的机器。显然还不是 root 访问权限(还),但仍然/tmp至少足以将文件写入我的目录。
有人对我可以在哪里查找更多信息有任何指示:谁可以做到这一点,以及他们如何做到这一点?
我的路由器配置为允许访问 SSH、HTTP(nginx 充当其他几种服务之一的反向代理)、SMTP、POP(后缀)和 IMAP(dovecot)以及端口 51413(传输)的转发流量。
如果您将 SSH 打开到 Internet,您将看到脚本尝试破解该密码的黑客尝试。
可能的缓解步骤:
注意:如果您的机器已经受到攻击,上述方法都无济于事。
小智 3
我意识到距离提出最初的问题已经过去两年了,但万一其他人像我一样通过 Google 来到这里:我看到了由 Dropbox 守护进程在未运行任何内容的服务器上以非 root 帐户运行所引起的行为X 服务器。我设法在文件被删除之前复制它们。由于某种原因,守护进程想要重置其数据目录的权限(不用介意它甚至不需要 root 来执行此操作)并终止某些进程。我只能推测为什么,也许它做了某种自动更新并尝试重新加载自身或类似的东西。
文件 /tmp/tmpe1AGcd 包含:
#!/bin/bash
sudo -K
zenity --entry --title="Dropbox" --text="Dropbox needs your permission to save settings to your computer.
Type your Linux password to allow Dropbox to make changes." --entry-text "" --hide-text | sudo -S /bin/sh /tmp/tmpAH5mxL
if [ "$?" != 0 ]; then
zenity --error --text="Sorry, wrong password"
exit 1
fi
由于机器正在无头运行并且甚至没有安装二进制“zenity”,因此 sudo 会收到空密码尝试,并在尝试执行 /tmp/tmpAH5mxL 时失败,其中包含:
#!/bin/bash
chown -R 1000 "/home/<username>/.dropbox"
chmod -R u+rwX "/home/<username>/.dropbox"
kill -s USR2 5364
我收到的结果消息与您收到的消息相同:
<hostname> : Jul 4 16:32:24 : <username>: 3 incorrect password attempts ; TTY=unknown ; PWD=/ ; USER=root ; COMMAND=/bin/sh /tmp/tmpAH5mxL
| 归档时间: |
|
| 查看次数: |
2245 次 |
| 最近记录: |