Ubuntu 16.04サーバーで、ISPから、次の添付のIPが他のホストを攻撃するために使用されたという警告を受け取りました。
May 23 22:42:07 shared02 sshd[23972]: Invalid user ircd from <my-ip>
May 23 22:42:07 shared02 sshd[23972]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=<my-ip>
May 23 22:42:09 shared02 sshd[23972]: Failed password for invalid user ircd from <my-ip> port 54952 ssh2
May 23 22:42:09 shared02 sshd[23972]: Received disconnect from <my-ip> port 54952:11: Normal Shutdown, Thank you for playing [preauth]
May 23 22:42:09 shared02 sshd[23972]: Disconnected from <my-ip> port 54952 [preauth]
/var/log/auth.logでログを確認したところ、自分のサーバーで少なくとも10日間辞書攻撃が行われており、ある時点で弱いユーザーパスワードが解読されたことがわかりました。
攻撃しているボットがこのアクセスを使用して他のターゲットを攻撃していると思われるため、前の警告が表示されました。ただし、このアクティビティがログに記録された場所はわかりません。 Ubuntuシステムにネイティブでこの情報を含むファイルはありますか?
また、ボーナス質問として、ボットがこのユーザーからrootとしてログに記録しようとしたことに気付きましたが、コマンドをSudoにしようとしなかったことがわかる限り、なぜそうしないのですか?
一般的に、いいえ、発信イベントに関するログはありません。誰かが要求したと想定されるためです。
攻撃者のログイン方法と攻撃の実行方法に応じて、さまざまな履歴ファイルにエントリが存在する場合があります(例:~/.bash_history
)。ただし、ログに記録するルールを特に追加しない限り、syslogには何もありません。必要に応じて、 セットアップ 発信接続のログを記録できますが、やりたいことだけを記録するように注意する必要があります。そのような例の1つが利用可能です Fedoraフォーラムで で、iptables
を活用しています。
ルートログインの質問については。一般的に、攻撃者はルートアクセスの取得についてあまり気にしません。別のサーバーで攻撃スクリプトを実行するだけです。 root
は、ユーザー攻撃に使用される辞書の一部です。まれに、弱いパスワードで有効になっているルートアカウントがある人がいます。さらに、ユーザーが/etc/sudoers
にいるという保証はなく、ユーザーが(不要な)Sudo
アクセス権を持っているかどうかを確認しようとする貴重な攻撃時間を無駄にしています。