slm*_*slm 2 security login ssh logs
有人问这是否构成入侵,并想知道他们的服务器是否已被入侵。
Jan 12 04:16:51 foo sshd[26725]: Failed password for root from 61.174.51.207 port 1076 ssh2
Jan 12 04:16:54 foo sshd[26822]: Disconnecting: Too many authentication failures for root
Jan 12 04:16:54 foo sshd[26825]: Failed password for root from 61.174.51.207 port 1076 ssh2
Jan 12 04:16:54 foo sshd[27324]: PAM 5 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=61.174.51.207 user=root "secure" 229L, 24376C
人们如何诊断他们的服务器是否遭到入侵?
上面的日志显示有人试图闯入系统,但没有成功。此行显示他们尝试以 root 身份通过 SSH 进入系统 5 次,但都失败了。
PAM 5 更多身份验证失败...
如果您在日志中看到这些类型的消息,最好对它们进行调查,以便了解它们的含义,但也不要被它们吓到。
注意:日志中的这种类型的喋喋不休通常称为IBR(互联网背景辐射)或 IBN(互联网背景噪音)。
以前曾与 FBI 合作过,在我过去,这些是我为诊断已被入侵的服务器所做的以下事情。这些没有特别的顺序!
立即关闭系统。
如果您怀疑某个系统已被入侵,您将无法再信任该服务器上的任何软件。所以使用替代工具,即关闭服务器并挂载从属磁盘,或者从已知良好的 live CD/USB 启动。
日志可能已被篡改,但通过检查它们是否存在异常来开始分析。
归档系统。如果您还没有备份它,现在就备份。
对攻击者如何进入进行逆向工程,以便您了解漏洞并在未来阻止它们。
保留系统的存档集,以防执法人员出现询问有关系统的信息。
对攻击者安装的任何后门和/或软件进行逆向工程,以便您了解攻击者使用您的系统的恶意目的。
使用复制的数据执行分析。
重新安装时,请确保您没有重新安装受损数据或易受攻击的代码。