Как расшифровать логи sssd?

Question

Anton1863 @Anton1863

Как расшифровать логи sssd?

Рано утром на сервер под root через ssh проник посторонний человек, буквально минут на 7. Авторизация сработала без переборов, как будто знали пароль. Следов не могу пока найти.
Единственно, появились логи в /var/log/sssd ровно в тот промежуток времени когда заходил посторонний, не подскажет кто, что могли сделать через sssd?

Вопрос задан более трёх лет назад
806 просмотров

7 комментариев

Подписаться 2 Простой 7 комментариев

Дмитрий Шицков @Zarom

Заблокируйте доступ руту по ssh во избежании подобной ситуации впредь.
Если за собой не прибрались - у рута мог сохраниться history выполненных команд.

Как вы эксплуатируете sssd? Самый вероятный сценарий для злоумышленника на мой взгляд - завести учетную запись с повышенными привилегиями. Конкретнее расскажут логи (которые вы не приложили). Правда при недостаточном уровне логирования информации может оказаться недостаточно. Следует проверить базу пользователей на предмет появления новых или незнакомых за этот период времени.

Написано более трёх лет назад
Anton1863 @Anton1863 Автор вопроса

Дмитрий Шицков, history чистый от чужих команд, есть подозрение на майнинг, нашел файл xmrig.json (время редактирование совпадает со временем захода) с данными кошелька электронного, cpu грузит memcache сейчас.
Процессы, которые создались в этот промежуток времени:
12411 Thu Jun 24 04:19:40 2021 [kworker/1:0-mm_percpu_wq]
12769 Thu Jun 24 04:27:14 2021 [kworker/2:1-events]
12831 Thu Jun 24 04:28:44 2021 /usr/bin/memcache

Написано более трёх лет назад
Anton1863 @Anton1863 Автор вопроса

Дмитрий Шицков, эти файлы были изменены в промежуток времени тот:
2021-06-24 04:22:59.3813528350 /var/log/sssd/sssd.log
2021-06-24 04:22:59.3293535840 /var/lib/sss/db/cache_implicit_files.ldb
2021-06-24 04:22:59.3243536560 /var/lib/sss/db/timestamps_implicit_files.ldb
2021-06-24 04:22:59.0903570230 /var/lib/rkhunter/tmp/passwd
2021-06-24 04:22:59.0903570230 /etc/passwd
2021-06-24 04:22:58.7523618880 /etc/gshadow
2021-06-24 04:22:58.7473619600 /var/lib/rkhunter/tmp/group
2021-06-24 04:22:58.7473619600 /etc/group
2021-06-24 04:22:25.5408398540 /var/spool/mail/memcache
2021-06-24 04:22:25.5408398540 /var/log/sssd/sssd_nss.log
2021-06-24 04:22:25.5408398540 /var/log/sssd/sssd_implicit_files.log
2021-06-24 04:22:25.1808450350 /etc/subgid
2021-06-24 04:22:25.1778450780 /etc/subuid
2021-06-24 04:22:25.0000000000 /etc/passwd-
2021-06-24 04:22:25.0000000000 /etc/gshadow-
2021-06-24 04:22:25.0000000000 /etc/group-

Написано более трёх лет назад
pfg21 @pfg21

первое: выключить в sshd вход по паролю, сгенерировать и прописать свои ключи в систему.
ибо смысл исправлять систему которая в тырнет светит голой жопой ?? :)

второе: сравнить измененные файлы с бекапом - найти что изменено, далее прыгать от измененного.

Написано более трёх лет назад
Anton1863 @Anton1863 Автор вопроса

pfg21, да систему недавно установил, на ней толком еще инфы нет, поэтому заново поставили. Теперь буду только с ключом, на другой порт, только по фиксированным айди в правилах файерволла, ну и с fail2ban. Надеюсь, теперь никто не прорвется.

Написано более трёх лет назад
pfg21 @pfg21

Anton1863, альтернативный номер порта сильно не помогает :) у меня за полгода выявили.
теперь стучатся :)
фаил2бан тоже не сильно поможет ибо судя по логам стучатся с разных ип. надо конечно поковырять ради познаний, но влом, да и стучатся не сильно активно :) в ддос систему не отправят.
а 4кб (кажись :) не помню когда уж генерил) ключ подбирать времени нужно поболее оставшего времени жизни земли. так что не парит...

надеюсь все внутренности затронутых файлов из /etc прошерстили ??

Написано более трёх лет назад
Anton1863 @Anton1863 Автор вопроса

pfg21, ну еще для ключа сделал пароль на тот случай, если он попадет не туда куда нужно, ну и как говорил, вход только с фиксированных ip, даже если есть ключ и пароль от него, если заходишь с чужого ай-пи, то до свидания.

Написано более трёх лет назад

Пригласить эксперта

Ответы на вопрос 2

Комментировать

Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы

Linux

+1 ещё

Простой
Linux mint восстановление x11 из командной строки?
- 1 подписчик
- 20 часов назад
- 72 просмотра
3

ответа
Linux

+2 ещё

Простой
Как установить Alt Linux На Ноутбук Aquarius CMP NS483?
- 3 подписчика
- вчера
- 1354 просмотра
2

ответа
Linux

+1 ещё

Простой
Какие подводные камни могут быть при шифровании бэкапа сайта и его БД?
- 2 подписчика
- 27 дек.
- 201 просмотр
0

ответов
Linux

Простой
Как определить MAC-адрес в ОС AstraLinux активной сетевой карты?
- 1 подписчик
- 27 дек.
- 159 просмотров
3

ответа
Linux

+2 ещё

Простой
Как подключиться к корпоративной сети?
- 1 подписчик
- 25 дек.
- 139 просмотров
1

ответ
Linux

+1 ещё

Простой
Оконные менеджеры, с чего начать?
- 2 подписчика
- 25 дек.
- 305 просмотров
3

ответа
Linux

+2 ещё

Сложный
Как соединить два sing-box?
- 1 подписчик
- 24 дек.
- 225 просмотров
1

ответ
Linux

+2 ещё

Простой
Как открыть/развернуть уже запущенное приложение c GUI через терминал, не дублируя его?
- 3 подписчика
- 23 дек.
- 217 просмотров
1

ответ
Linux

+1 ещё

Средний
Как установить основную ОС на другой жесткий диск на уже запущенной машине?
- 1 подписчик
- 23 дек.
- 208 просмотров
4

ответа
Windows

+2 ещё

Средний
Как генерировать пароль по кодовой фразе и восстанавливать обратно?
- 1 подписчик
- 23 дек.
- 182 просмотра
4

ответа
Показать ещё Загружается…

Системный администратор Astra Linux

Гринатом • Новосибирск

До 60 000 ₽

Системный администратор Linux

ГК Finbridge • Ростов-на-Дону

от 180 000 до 220 000 ₽

Старший инженер Linux

Интер РАО – Управление сервисами • Москва

от 225 000 ₽

Разработка бекенда на NestJS

29 дек. 2024, в 10:50

50000 руб./за проект

Адаптировать индикатор написанный на Pine к терминалу TigerTrade

29 дек. 2024, в 09:49

5000 руб./за проект

Подружить простую Hmi Droid панель с прогой плк

29 дек. 2024, в 09:44

5500 руб./за проект

Заблокируйте доступ руту по ssh во избежании подобной ситуации впредь.
Если за собой не прибрались - у рута мог сохраниться history выполненных команд.

Как вы эксплуатируете sssd? Самый вероятный сценарий для злоумышленника на мой взгляд - завести учетную запись с повышенными привилегиями. Конкретнее расскажут логи (которые вы не приложили). Правда при недостаточном уровне логирования информации может оказаться недостаточно. Следует проверить базу пользователей на предмет появления новых или незнакомых за этот период времени.
Дмитрий Шицков, history чистый от чужих команд, есть подозрение на майнинг, нашел файл xmrig.json (время редактирование совпадает со временем захода) с данными кошелька электронного, cpu грузит memcache сейчас.
Процессы, которые создались в этот промежуток времени:
12411 Thu Jun 24 04:19:40 2021 [kworker/1:0-mm_percpu_wq]
12769 Thu Jun 24 04:27:14 2021 [kworker/2:1-events]
12831 Thu Jun 24 04:28:44 2021 /usr/bin/memcache
Дмитрий Шицков, эти файлы были изменены в промежуток времени тот:
2021-06-24 04:22:59.3813528350 /var/log/sssd/sssd.log
2021-06-24 04:22:59.3293535840 /var/lib/sss/db/cache_implicit_files.ldb
2021-06-24 04:22:59.3243536560 /var/lib/sss/db/timestamps_implicit_files.ldb
2021-06-24 04:22:59.0903570230 /var/lib/rkhunter/tmp/passwd
2021-06-24 04:22:59.0903570230 /etc/passwd
2021-06-24 04:22:58.7523618880 /etc/gshadow
2021-06-24 04:22:58.7473619600 /var/lib/rkhunter/tmp/group
2021-06-24 04:22:58.7473619600 /etc/group
2021-06-24 04:22:25.5408398540 /var/spool/mail/memcache
2021-06-24 04:22:25.5408398540 /var/log/sssd/sssd_nss.log
2021-06-24 04:22:25.5408398540 /var/log/sssd/sssd_implicit_files.log
2021-06-24 04:22:25.1808450350 /etc/subgid
2021-06-24 04:22:25.1778450780 /etc/subuid
2021-06-24 04:22:25.0000000000 /etc/passwd-
2021-06-24 04:22:25.0000000000 /etc/gshadow-
2021-06-24 04:22:25.0000000000 /etc/group-
первое: выключить в sshd вход по паролю, сгенерировать и прописать свои ключи в систему.
ибо смысл исправлять систему которая в тырнет светит голой жопой ?? :)

второе: сравнить измененные файлы с бекапом - найти что изменено, далее прыгать от измененного.
pfg21, да систему недавно установил, на ней толком еще инфы нет, поэтому заново поставили. Теперь буду только с ключом, на другой порт, только по фиксированным айди в правилах файерволла, ну и с fail2ban. Надеюсь, теперь никто не прорвется.
Anton1863, альтернативный номер порта сильно не помогает :) у меня за полгода выявили.
теперь стучатся :)
фаил2бан тоже не сильно поможет ибо судя по логам стучатся с разных ип. надо конечно поковырять ради познаний, но влом, да и стучатся не сильно активно :) в ддос систему не отправят.
а 4кб (кажись :) не помню когда уж генерил) ключ подбирать времени нужно поболее оставшего времени жизни земли. так что не парит...

надеюсь все внутренности затронутых файлов из /etc прошерстили ??
pfg21, ну еще для ключа сделал пароль на тот случай, если он попадет не туда куда нужно, ну и как говорил, вход только с фиксированных ip, даже если есть ключ и пароль от него, если заходишь с чужого ай-пи, то до свидания.

Answer 1 · 2021-06-25 07:06:16

sssd это один из сервисов который может использоваться в авторизации и аутенфикации.
Не уверен что это поможет понять как зашли. Но загляните и если хотите пришлите нам - это вполне текстовой формат.
Что сделали - можно понять по /etc/passwd и т.п.

Answer 2 · 2021-06-25 07:48:24

sssd - сервис, который позволяет выполнять аутентификацию и авторизацию по различным источникам информации (AD, LDAP, etc). Обычно используется для подключения к домену Windows при невозможности/нежелании ставить самбу.
Не уверен, что в логах по умолчанию есть что-то ценное, но конечно же, если хотите можете выложить обезличенную версию

Как расшифровать логи sssd?

Войдите, чтобы написать ответ

Минуточку внимания

Войдите на сайт