Ksh*_*rma 7 security users ssh logs centos
我们网络上的一台机器消耗了大量的互联网带宽。然而,没有用户使用该系统。
当我使用 SSH 连接到服务器并运行时,who它显示用户从我不认识的 IP 登录。我没有在系统上创建这个用户。并且在/etc/sudoers用户中拥有无限的 root 访问权限:
test11 ALL = NOPASSWD: ALL
我终止了会话并更改了 root 密码。我也删除了用户。
现在我可能安全了,但需要分析发生这种情况的原因以及用户进行了哪些活动。
我如何找到有关此用户所做操作的更多信息?哪些系统日志文件可以帮助我获取有关 IP、持续时间、运行的命令、访问的 Internet 站点等的更多信息?
注意:这是 CentOS 6 系统的默认安装。我没有安装任何安全或审计软件。我也没有更改任何系统配置。我需要知道我可以从默认安装中提取什么。
phe*_*mer 19
由于您的系统已遭到入侵,因此您从该系统获得的任何信息都不可信。只有立即发送到外部系统的日志才可信(例如实时远程系统日志)。这意味着如果您每晚对 NFS 共享进行日志轮换,您就不能相信它。
然而,用户可能没有费心去掩盖他/她的踪迹,并且您可能在系统上仍然可以获得这些信息。
不幸的是,在默认的 Centos/RHEL 安装中,日志记录非常少。您基本上只能在/var/log. 您应该挖掘哪个日志取决于该机器上正在运行的服务。但是我会从 ssh 日志开始。之后查看以 root 身份运行或具有sudo访问权限的任何服务的日志。
如果幸运的话,该test11用户可能有一个主目录,其中.bash_history包含一个包含已完成操作历史记录的文件。
此外,由于系统已被破坏到未知用户能够获得 root 访问权限的程度,因此必须从头开始重建系统。您不能重用系统中的任何内容。将每个文件都视为受到威胁。我还建议不要使用备份,因为您不知道系统在多久前遭到破坏。
一旦用户获得 root 访问权限,就可以安装无限数量的后门。如果我是获得您系统访问权限的人,那么简单地删除该test11用户并更改root密码甚至不会减慢我的速度。
未来,您可以做一些事情。
如前所述,只有实时远程日志记录才能被信任不被篡改。确保你有这个。
您应该安装和使用 2 个实用程序来监视和审核系统的关键组件。这些是auditd和ossec。
这 2 个实用程序的运行方式不同,但目的相同,都是为了观察异常活动。
还有另一种称为pam_tty_audit与前面提到的auditd实用程序结合使用的审计工具。pam_tty_audit是您添加到 pam 堆栈的实用程序,它记录 TTY 上的所有输入和输出。这意味着如果用户通过交互式 ssh 访问该框,他们的活动将被记录。
但是请注意,最重要的是不惜一切代价保护此日志。这主要是因为密码。当您在提示下输入密码时,即使您没有看到正在输入的密码,pam_tty_audit模块也会看到它并记录下来。你也有可能cat输出(或以其他方式查看)包含敏感信息的文件,这些文件也将被记录。因此,此日志必须立即从本地系统运出,以便入侵者无法获得它,或者必须对其进行加密(并且解密密钥不能在本地系统上)。最好两者都应该执行,远程发送,并对其进行加密。
| 归档时间: |
|
| 查看次数: |
33046 次 |
| 最近记录: |