/ Forside / Teknologi / Operativsystemer / Linux / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
Linux
#NavnPoint
o.v.n. 11177
peque 7911
dk 4814
e.c 2359
Uranus 1334
emesen 1334
stone47 1307
linuxrules 1214
Octon 1100
10  BjarneD 875
sshd-problemer i nat
Fra : Thorbjoern Ravn Ande~


Dato : 22-01-02 09:48


To uafhaengige RedHat maskiner i min umiddelbare naerhed har i gaar
aftes lukket sshd ned og forsoegt at reboote. Det lykkedes for den
ene, men ikke den anden, hvor til gengaeld sshd-programmet er fjernet
fra disken. Jeg har en fornemmelse af at dette er et automatiseret
angreb paa mange IP-adresser.

Er der andre der har set dette?
--
Thorbjørn Ravn Andersen
http://bigfoot.com/~thunderbear

 
 
Claus Rasmussen (22-01-2002)
Kommentar
Fra : Claus Rasmussen


Dato : 22-01-02 10:16

Thorbjoern Ravn Andersen wrote:

> Er der andre der har set dette?

Jeg har en fuldt opdateret RH 7.1 ssh server. Ingen unormal aktivitet
eller flere angreb end sædvanligt.

-Claus


Michael Knudsen (22-01-2002)
Kommentar
Fra : Michael Knudsen


Dato : 22-01-02 17:22

Claus Rasmussen wrote:


> Jeg har en fuldt opdateret RH 7.1 ssh server. Ingen unormal aktivitet
> eller flere angreb end sædvanligt.

Hvordan kan du se, om der har været angreb?!

-> Michael Knudsen


Claus Rasmussen (23-01-2002)
Kommentar
Fra : Claus Rasmussen


Dato : 23-01-02 08:14

Michael Knudsen wrote:

> Hvordan kan du se, om der har været angreb?!

Firewall.

Jeg klipper alt andet end henvendelser fra nogle bestemte ip adresser.
Resten ender i min log.

-Claus


Dennis Jørgensen (22-01-2002)
Kommentar
Fra : Dennis Jørgensen


Dato : 22-01-02 15:37

Thorbjoern Ravn Andersen (thunderbear@bigfoot.com) wrote:
>
>To uafhaengige RedHat maskiner i min umiddelbare naerhed har i gaar
>aftes lukket sshd ned og forsoegt at reboote. Det lykkedes for den
>ene, men ikke den anden, hvor til gengaeld sshd-programmet er fjernet
>fra disken. Jeg har en fornemmelse af at dette er et automatiseret
>angreb paa mange IP-adresser.
>
>Er der andre der har set dette?

Omtrent, har set en maskine hvor sshd blev skiftet ud, der blev startet en
modificeret telnet fra /etc/inittab, og der blev lagt et kernemodul ind
der stod for at skjule nogle biblioteker og sig selv mm.

grep -r insmod /etc/* viste at modulet blev loadet fra
/etc/rc.d/rc.modules, og det hed spx274.o både modulet
(/lib/modules/spx274.o) og rc.modules var skjulte for ls, find, locate,
etc. indtil jeg havde genstartet maskinen med rc.modules slettet.


Mvh.

Dennis Jørgensen

Claus Rasmussen (23-01-2002)
Kommentar
Fra : Claus Rasmussen


Dato : 23-01-02 08:14

Dennis Jørgensen wrote:

> grep -r insmod /etc/* viste at modulet blev loadet fra
> /etc/rc.d/rc.modules, og det hed spx274.o både modulet
> (/lib/modules/spx274.o) og rc.modules var skjulte for ls, find, locate,
> etc. indtil jeg havde genstartet maskinen med rc.modules slettet.

Føj for den.

-Claus


Thorbjoern Ravn Ande~ (22-01-2002)
Kommentar
Fra : Thorbjoern Ravn Ande~


Dato : 22-01-02 21:59

Thorbjoern Ravn Andersen <thunderbear@bigfoot.com> writes:

> To uafhaengige RedHat maskiner i min umiddelbare naerhed har i gaar
> aftes lukket sshd ned og forsoegt at reboote. Det lykkedes for den
> ene, men ikke den anden, hvor til gengaeld sshd-programmet er fjernet
> fra disken. Jeg har en fornemmelse af at dette er et automatiseret
> angreb paa mange IP-adresser.

Jeg har nu funderet over det. Det faktum at sshd-pakken var fjernet
fra systemet, kunne maaske skyldes at en automatisk opdatering fejlede
af en eller anden grund? Problemerne startede cirka 0.15, hvilket godt
kunne tyde paa et par store RPM pakker efterfulgt af en
pakkeopdatering.

Den ene maskine var i hvertfald tilknyttet Redhats automatiske
opdatering. At den anden bootede har jeg siden faaet at vide, var
sket manuelt af maskinens regelmaessige bruger.

Er der en bruger af dette system, som kan sige om sshd-pakken blev
opdateret i gaar?
--
Thorbjørn Ravn Andersen
http://bigfoot.com/~thunderbear

Claus Rasmussen (23-01-2002)
Kommentar
Fra : Claus Rasmussen


Dato : 23-01-02 08:14

Thorbjoern Ravn Andersen wrote:

> Er der en bruger af dette system, som kan sige om sshd-pakken blev
> opdateret i gaar?

Så må du jo skrive præcist hvilken version af RH, du bruger. Jeg
bruger 7.1 på serveren, og der har ikke været nogen ssh opdateringer
for nylig, kun opdateringer af exim, enscript, uucp og øhh... sudo ?

Du kan i øvrigt kigge i up2date's log: /var/log/up2date .

-Claus


Thorbjoern Ravn Ande~ (23-01-2002)
Kommentar
Fra : Thorbjoern Ravn Ande~


Dato : 23-01-02 12:01

Claus Rasmussen <clr@cc-consult.dk> writes:

> Så må du jo skrive præcist hvilken version af RH, du bruger. Jeg
> bruger 7.1 på serveren, og der har ikke været nogen ssh opdateringer
> for nylig, kun opdateringer af exim, enscript, uucp og øhh... sudo ?

Det er en 7.1'er.

Nu koeber vi en ny disk og installerer 7.2 paa den. Den traengte alligevel.
--
Thorbjørn Ravn Andersen
http://bigfoot.com/~thunderbear

Søg
Reklame
Statistik
Spørgsmål : 177558
Tips : 31968
Nyheder : 719565
Indlæg : 6408896
Brugere : 218888

Månedens bedste
Årets bedste
Sidste års bedste