Рано утром на сервер под root через ssh проник посторонний человек, буквально минут на 7. Авторизация сработала без переборов, как будто знали пароль. Следов не могу пока найти.
Единственно, появились логи в /var/log/sssd ровно в тот промежуток времени когда заходил посторонний, не подскажет кто, что могли сделать через sssd?
Заблокируйте доступ руту по ssh во избежании подобной ситуации впредь.
Если за собой не прибрались - у рута мог сохраниться history выполненных команд.
Как вы эксплуатируете sssd? Самый вероятный сценарий для злоумышленника на мой взгляд - завести учетную запись с повышенными привилегиями. Конкретнее расскажут логи (которые вы не приложили). Правда при недостаточном уровне логирования информации может оказаться недостаточно. Следует проверить базу пользователей на предмет появления новых или незнакомых за этот период времени.
Дмитрий Шицков, history чистый от чужих команд, есть подозрение на майнинг, нашел файл xmrig.json (время редактирование совпадает со временем захода) с данными кошелька электронного, cpu грузит memcache сейчас.
Процессы, которые создались в этот промежуток времени:
12411 Thu Jun 24 04:19:40 2021 [kworker/1:0-mm_percpu_wq]
12769 Thu Jun 24 04:27:14 2021 [kworker/2:1-events]
12831 Thu Jun 24 04:28:44 2021 /usr/bin/memcache
первое: выключить в sshd вход по паролю, сгенерировать и прописать свои ключи в систему.
ибо смысл исправлять систему которая в тырнет светит голой жопой ?? :)
второе: сравнить измененные файлы с бекапом - найти что изменено, далее прыгать от измененного.
pfg21, да систему недавно установил, на ней толком еще инфы нет, поэтому заново поставили. Теперь буду только с ключом, на другой порт, только по фиксированным айди в правилах файерволла, ну и с fail2ban. Надеюсь, теперь никто не прорвется.
Anton1863, альтернативный номер порта сильно не помогает :) у меня за полгода выявили.
теперь стучатся :)
фаил2бан тоже не сильно поможет ибо судя по логам стучатся с разных ип. надо конечно поковырять ради познаний, но влом, да и стучатся не сильно активно :) в ддос систему не отправят.
а 4кб (кажись :) не помню когда уж генерил) ключ подбирать времени нужно поболее оставшего времени жизни земли. так что не парит...
надеюсь все внутренности затронутых файлов из /etc прошерстили ??
pfg21, ну еще для ключа сделал пароль на тот случай, если он попадет не туда куда нужно, ну и как говорил, вход только с фиксированных ip, даже если есть ключ и пароль от него, если заходишь с чужого ай-пи, то до свидания.
sssd это один из сервисов который может использоваться в авторизации и аутенфикации.
Не уверен что это поможет понять как зашли. Но загляните и если хотите пришлите нам - это вполне текстовой формат.
Что сделали - можно понять по /etc/passwd и т.п.
sssd - сервис, который позволяет выполнять аутентификацию и авторизацию по различным источникам информации (AD, LDAP, etc). Обычно используется для подключения к домену Windows при невозможности/нежелании ставить самбу.
Не уверен, что в логах по умолчанию есть что-то ценное, но конечно же, если хотите можете выложить обезличенную версию
Простой
