Как расшифровать логи sssd?

Question

Anton1863 @Anton1863

Как расшифровать логи sssd?

Рано утром на сервер под root через ssh проник посторонний человек, буквально минут на 7. Авторизация сработала без переборов, как будто знали пароль. Следов не могу пока найти.
Единственно, появились логи в /var/log/sssd ровно в тот промежуток времени когда заходил посторонний, не подскажет кто, что могли сделать через sssd?

Вопрос задан более трёх лет назад
961 просмотр

7 комментариев

Подписаться 2 Простой 7 комментариев

Дмитрий Шицков @Zarom

Заблокируйте доступ руту по ssh во избежании подобной ситуации впредь.
Если за собой не прибрались - у рута мог сохраниться history выполненных команд.

Как вы эксплуатируете sssd? Самый вероятный сценарий для злоумышленника на мой взгляд - завести учетную запись с повышенными привилегиями. Конкретнее расскажут логи (которые вы не приложили). Правда при недостаточном уровне логирования информации может оказаться недостаточно. Следует проверить базу пользователей на предмет появления новых или незнакомых за этот период времени.

Написано более трёх лет назад
Anton1863 @Anton1863 Автор вопроса

Дмитрий Шицков, history чистый от чужих команд, есть подозрение на майнинг, нашел файл xmrig.json (время редактирование совпадает со временем захода) с данными кошелька электронного, cpu грузит memcache сейчас.
Процессы, которые создались в этот промежуток времени:
12411 Thu Jun 24 04:19:40 2021 [kworker/1:0-mm_percpu_wq]
12769 Thu Jun 24 04:27:14 2021 [kworker/2:1-events]
12831 Thu Jun 24 04:28:44 2021 /usr/bin/memcache

Написано более трёх лет назад
Anton1863 @Anton1863 Автор вопроса

Дмитрий Шицков, эти файлы были изменены в промежуток времени тот:
2021-06-24 04:22:59.3813528350 /var/log/sssd/sssd.log
2021-06-24 04:22:59.3293535840 /var/lib/sss/db/cache_implicit_files.ldb
2021-06-24 04:22:59.3243536560 /var/lib/sss/db/timestamps_implicit_files.ldb
2021-06-24 04:22:59.0903570230 /var/lib/rkhunter/tmp/passwd
2021-06-24 04:22:59.0903570230 /etc/passwd
2021-06-24 04:22:58.7523618880 /etc/gshadow
2021-06-24 04:22:58.7473619600 /var/lib/rkhunter/tmp/group
2021-06-24 04:22:58.7473619600 /etc/group
2021-06-24 04:22:25.5408398540 /var/spool/mail/memcache
2021-06-24 04:22:25.5408398540 /var/log/sssd/sssd_nss.log
2021-06-24 04:22:25.5408398540 /var/log/sssd/sssd_implicit_files.log
2021-06-24 04:22:25.1808450350 /etc/subgid
2021-06-24 04:22:25.1778450780 /etc/subuid
2021-06-24 04:22:25.0000000000 /etc/passwd-
2021-06-24 04:22:25.0000000000 /etc/gshadow-
2021-06-24 04:22:25.0000000000 /etc/group-

Написано более трёх лет назад
pfg21 @pfg21

первое: выключить в sshd вход по паролю, сгенерировать и прописать свои ключи в систему.
ибо смысл исправлять систему которая в тырнет светит голой жопой ?? :)

второе: сравнить измененные файлы с бекапом - найти что изменено, далее прыгать от измененного.

Написано более трёх лет назад
Anton1863 @Anton1863 Автор вопроса

pfg21, да систему недавно установил, на ней толком еще инфы нет, поэтому заново поставили. Теперь буду только с ключом, на другой порт, только по фиксированным айди в правилах файерволла, ну и с fail2ban. Надеюсь, теперь никто не прорвется.

Написано более трёх лет назад
pfg21 @pfg21

Anton1863, альтернативный номер порта сильно не помогает :) у меня за полгода выявили.
теперь стучатся :)
фаил2бан тоже не сильно поможет ибо судя по логам стучатся с разных ип. надо конечно поковырять ради познаний, но влом, да и стучатся не сильно активно :) в ддос систему не отправят.
а 4кб (кажись :) не помню когда уж генерил) ключ подбирать времени нужно поболее оставшего времени жизни земли. так что не парит...

надеюсь все внутренности затронутых файлов из /etc прошерстили ??

Написано более трёх лет назад
Anton1863 @Anton1863 Автор вопроса

pfg21, ну еще для ключа сделал пароль на тот случай, если он попадет не туда куда нужно, ну и как говорил, вход только с фиксированных ip, даже если есть ключ и пароль от него, если заходишь с чужого ай-пи, то до свидания.

Написано более трёх лет назад

Помогут разобраться в теме Все курсы

Нетология

Инженер по тестированию

8 месяцев

Далее
Яндекс Практикум

DevOps для эксплуатации и разработки

6 месяцев

Далее
Яндекс Практикум

Go-разработчик с нуля

8 месяцев

Далее

Пригласить эксперта

Ответы на вопрос 2

Комментировать

Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы

Linux

+1 ещё

Средний
Почему Linux Ubuntu после установки не запускается без загрузочной флешки?
- 1 подписчик
- 17 часов назад
- 108 просмотров
2

ответа
Информационная безопасность

Простой
Как начать карьеру в SOC?
- 1 подписчик
- 23 окт.
- 86 просмотров
0

ответов
Linux

+1 ещё

Простой
Не могу подключиться к серверу Linux Ubuntu по SSH — как исправить?
- 2 подписчика
- 23 окт.
- 795 просмотров
5

ответов
Linux

+2 ещё

Средний
Туннель Wireguard — всё?
- 2 подписчика
- 21 окт.
- 8218 просмотров
3

ответа
Linux

+4 ещё

Простой
Возможно ли получить интернет с openwrt в proxmox?
- 1 подписчик
- 17 окт.
- 322 просмотра
4

ответа
Linux

+2 ещё

Простой
Как настроить Matrix Synapse сервер, чтобы работал клиент Element X (Element подключается)?
- 1 подписчик
- 17 окт.
- 130 просмотров
1

ответ
Информационная безопасность

+1 ещё

Простой
Безопасно ли использовать OpenSource продукты от крупных корпораций?
- 3 подписчика
- 17 окт.
- 381 просмотр
7

ответов
Информационная безопасность

+1 ещё

Простой
Каким образом можно зашифровать файлы, или может есть готовое решение, или облачное решение?
- 3 подписчика
- 16 окт.
- 292 просмотра
4

ответа
Linux

Средний
Какой Linux поставить в виртуалку, чтобы поднять на нём OpenVPN клиент и 3proxy сервер для локального использования?
- 4 подписчика
- 15 окт.
- 538 просмотров
4

ответа
Linux

Простой
Как запустить две копии программы в Linux?
- 3 подписчика
- 14 окт.
- 537 просмотров
4

ответа
Показать ещё Загружается…

Системный администратор

ТЕЛЕРУС • Москва

от 150 000 до 250 000 ₽

Системный администратор Linux

Abc staff • Москва

До 250 000 ₽

Ведущий инженер-проектировщик линий электропередачи (ЛЭП)

ЭЛСИ Энергопроект • Новосибирск

от 121 000 ₽

Заблокируйте доступ руту по ssh во избежании подобной ситуации впредь.
Если за собой не прибрались - у рута мог сохраниться history выполненных команд.

Как вы эксплуатируете sssd? Самый вероятный сценарий для злоумышленника на мой взгляд - завести учетную запись с повышенными привилегиями. Конкретнее расскажут логи (которые вы не приложили). Правда при недостаточном уровне логирования информации может оказаться недостаточно. Следует проверить базу пользователей на предмет появления новых или незнакомых за этот период времени.
Дмитрий Шицков, history чистый от чужих команд, есть подозрение на майнинг, нашел файл xmrig.json (время редактирование совпадает со временем захода) с данными кошелька электронного, cpu грузит memcache сейчас.
Процессы, которые создались в этот промежуток времени:
12411 Thu Jun 24 04:19:40 2021 [kworker/1:0-mm_percpu_wq]
12769 Thu Jun 24 04:27:14 2021 [kworker/2:1-events]
12831 Thu Jun 24 04:28:44 2021 /usr/bin/memcache
Дмитрий Шицков, эти файлы были изменены в промежуток времени тот:
2021-06-24 04:22:59.3813528350 /var/log/sssd/sssd.log
2021-06-24 04:22:59.3293535840 /var/lib/sss/db/cache_implicit_files.ldb
2021-06-24 04:22:59.3243536560 /var/lib/sss/db/timestamps_implicit_files.ldb
2021-06-24 04:22:59.0903570230 /var/lib/rkhunter/tmp/passwd
2021-06-24 04:22:59.0903570230 /etc/passwd
2021-06-24 04:22:58.7523618880 /etc/gshadow
2021-06-24 04:22:58.7473619600 /var/lib/rkhunter/tmp/group
2021-06-24 04:22:58.7473619600 /etc/group
2021-06-24 04:22:25.5408398540 /var/spool/mail/memcache
2021-06-24 04:22:25.5408398540 /var/log/sssd/sssd_nss.log
2021-06-24 04:22:25.5408398540 /var/log/sssd/sssd_implicit_files.log
2021-06-24 04:22:25.1808450350 /etc/subgid
2021-06-24 04:22:25.1778450780 /etc/subuid
2021-06-24 04:22:25.0000000000 /etc/passwd-
2021-06-24 04:22:25.0000000000 /etc/gshadow-
2021-06-24 04:22:25.0000000000 /etc/group-
первое: выключить в sshd вход по паролю, сгенерировать и прописать свои ключи в систему.
ибо смысл исправлять систему которая в тырнет светит голой жопой ?? :)

второе: сравнить измененные файлы с бекапом - найти что изменено, далее прыгать от измененного.
pfg21, да систему недавно установил, на ней толком еще инфы нет, поэтому заново поставили. Теперь буду только с ключом, на другой порт, только по фиксированным айди в правилах файерволла, ну и с fail2ban. Надеюсь, теперь никто не прорвется.
Anton1863, альтернативный номер порта сильно не помогает :) у меня за полгода выявили.
теперь стучатся :)
фаил2бан тоже не сильно поможет ибо судя по логам стучатся с разных ип. надо конечно поковырять ради познаний, но влом, да и стучатся не сильно активно :) в ддос систему не отправят.
а 4кб (кажись :) не помню когда уж генерил) ключ подбирать времени нужно поболее оставшего времени жизни земли. так что не парит...

надеюсь все внутренности затронутых файлов из /etc прошерстили ??
pfg21, ну еще для ключа сделал пароль на тот случай, если он попадет не туда куда нужно, ну и как говорил, вход только с фиксированных ip, даже если есть ключ и пароль от него, если заходишь с чужого ай-пи, то до свидания.

Answer 1 · 2021-06-25 07:06:16

sssd это один из сервисов который может использоваться в авторизации и аутенфикации.
Не уверен что это поможет понять как зашли. Но загляните и если хотите пришлите нам - это вполне текстовой формат.
Что сделали - можно понять по /etc/passwd и т.п.

Answer 2 · 2021-06-25 07:48:24

sssd - сервис, который позволяет выполнять аутентификацию и авторизацию по различным источникам информации (AD, LDAP, etc). Обычно используется для подключения к домену Windows при невозможности/нежелании ставить самбу.
Не уверен, что в логах по умолчанию есть что-то ценное, но конечно же, если хотите можете выложить обезличенную версию

Как расшифровать логи sssd?

Войдите, чтобы написать ответ

Минуточку внимания

Войдите на сайт