Этот вопрос закрыт для ответов, так как повторяет вопрос Как удалить вредоносную активность со своего сервера?

Как найти источник вредоносной активности на сервере?

Использую VPS. Хостер ограничил мой сервер на основании то, что на нем есть источник вредоносной активности. Вот лог:
Note: Local timezone is +0100 (CET)
Jan 11 01:18:31 shared03 sshd[17228]: Invalid user ts3 from 185.178.46.241
Jan 11 01:18:31 shared03 sshd[17228]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=185.178.46.241
Jan 11 01:18:33 shared03 sshd[17228]: Failed password for invalid user ts3 from 185.178.46.241 port 44084 ssh2
Jan 11 01:18:33 shared03 sshd[17228]: Received disconnect from 185.178.46.241 port 44084:11: Bye Bye [preauth]
Jan 11 01:18:33 shared03 sshd[17228]: Disconnected from 185.178.46.241 port 44084 [preauth]


Как найти источник проблемы?

Использовал антивирус Rkhunter (https://losst.ru/proverka-linux-na-virusy). Вот что показал лог:

[11:19:29]   Checking if SSH root access is allowed          [ Warning ]
[11:19:30] Warning: The SSH and rkhunter configuration options should be the same:
[11:19:30] SSH configuration option 'PermitRootLogin': yes
[11:19:30] Rkhunter configuration option 'ALLOW_SSH_ROOT_USER': no


Пошел в /etc/ssh/sshd_config и заменил PermitRootLogin на no.
  • Вопрос задан
  • 251 просмотр
Решения вопроса 1
leahch
@leahch Куратор тега Linux
Я мастер на все руки, я козлик Элек Мэк :-)
1) Начните со списка процессов на вашем сервере и сетевых подключений.
2) Проверьте, не имеется ли у вас rootkit или подмены системных файлов (поможет проверка через менеджер пакетов)
https://blog.sleeplessbeastie.eu/2015/03/02/how-to...
и
https://bencane.com/2013/12/23/yum-plugins-verifyi...
3) Запретите все исходящие коннекты с сервера (через iptables/firewalld/ufw или что у вас там стоит), и переведите их в состояние drop (только не reject!), тогда как минимум можно увидеть по netstat, какой процесс пытается стучаться к чужим серверам по ssh
4) найти виновника и его пристрелить
5) по типу атаки узнать как пробрался на систему гад и ликвидировать дырку

На дальнейшее
- доступ по ssh по ключам
- отключение исходящих коннектов через firewall
- всех по своим пользователям-ролям, под рутом живут только нужные службы
- желательно ограничивать коннекты не на сервере, а на отдельном роутере
- запускайте службы в контейнерах или виртуалках (если barebone)
- мониторинг системы
- логи на внешний сервер
Ответ написан
Пригласить эксперта
Ответы на вопрос 3
@LexPex
PM Sysadm
я бы snort-ng поставил
Ответ написан
@feanor7
Системный администратор
Да не парься, перевесь со стандартного порта на произвольный, поменяй все пароли и поставь fail2ban.
Ответ написан
2ord
@2ord
продвинутый чайник
Нужно отключить аутентификацию ssh по паролю и вместо этого по ключу, чтобы не подбирали пароль root.
Ответ написан
Ваш ответ на вопрос

Вопрос закрыт для ответов и комментариев

Потому что уже есть похожий вопрос.
Похожие вопросы