Rsyslogd Bilinmeyen uygulama tarafından oluşturulan saldırı hakkında günlük girişi

Son zamanlarda / var / log / syslog, /var/log/user.log ve / var / log / messages'de bazı tuhaf günlük girişleri yapan test amaçlı çalışan bir sunucum var. auth.log şüpheli bir şey göstermiyor. Bu süre zarfında hiçbir (kullanıcı) kullanıcısı oturum açmamış olmalıdır.

Sunucu neredeyse hiçbir yazılım çalıştırmaz, yalnızca sshd arka plan programı çalıştırır.

Kayıt girişleri, hangi programın oluşturulduğunu ortaya çıkarmaz, bazı port tarama ve tarama faaliyetlerinden kaynaklanıyor gibi görünmektedir.

Bu mesajların nereden gelebileceği hakkında bir fikri olan var mı? (SOMEDATETIME, günlük girişinin zamanıdır ve SOMEIP bilinmeyen bir IP adresidir)

SOMEDATETIME GET / HTTP/1.0#015
SOMEDATETIME SOMEIP #015 
SOMEDATETIME SOMEIP #015 
SOMEDATETIME SOMEIP #015 
SOMEDATETIME OPTIONS / HTTP/1.0#015
SOMEDATETIME SOMEIP #015 
SOMEDATETIME OPTIONS / RTSP/1.0#015
SOMEDATETIME SOMEIP #015 
SOMEDATETIME SOMEIP HELP#015 
SOMEDATETIME SOMEIP #026#003#000#000S#001#000#000O#003#000?G���,���`~�#000��{�Ֆ�w����<=�o�#020n#000#000(#000#026#000#023 
SOMEDATETIME SOMEIP #026#003#000#000i#001#000#000e#003#003U#034��random1random2random3random4#000#000#014#000/ 
SOMEDATETIME SOMEIP #000#000#000qj�n0�k�#003#002#001#005�#003#002#001 
SOMEDATETIME GET /nice%20ports%2C/Tri%6Eity.txt%2ebak HTTP/1.0#015
SOMEDATETIME SOMEIP #015 
SOMEDATETIME SOMEIP #001default 
SOMEDATETIME SOMEIP #002 
SOMEDATETIME OPTIONS sip: nm SIP/2.0#015
SOMEDATETIME SOMEIP Via: SIP/2.0/TCP nm;branch=foo#015
SOMEDATETIME SOMEIP From: <sip:nm@nm>;tag=root#015
SOMEDATETIME SOMEIP To: <sip:nm2@nm2>#015
SOMEDATETIME SOMEIP Call-ID: 50000#015
SOMEDATETIME SOMEIP CSeq: 42 OPTIONS#015
SOMEDATETIME SOMEIP Max-Forwards: 70#015
SOMEDATETIME SOMEIP Content-Length: 0#015
SOMEDATETIME SOMEIP Contact: <sip:nm@nm>#015
SOMEDATETIME SOMEIP Accept: application/sdp#015
SOMEDATETIME SOMEIP #015

Bu, sunucunuza karşı Nmap taraması yapan birinin sonucudur - Nmap açık bir TCP bağlantı noktası bulur ve ardından çok sayıda ortak hizmet türünden (HTTP, RTSP, SIP, ...) etkin olup olmadığını keşfetmeye çalışan çeşitli paketler gönderir. o limanda.

(Zenmap 7.40'ı geliştirdiğim bir sunucu uygulamasına karşı çalıştırmayı denedim ve aynı dizi diziyi yazdım).

Bu davranışın açıklamasının rysyslog konfigürasyonunda olduğunu buldum. Varsayılan olarak, rsyslog 514 numaralı bağlantı noktasından UDP girişini kabul eder ve gelen tüm paketleri iletilere, syslog ve usr.log günlük dosyalarına kaydeder. Bunun nedeni, rsyslog'un varsayılan olarak uzak bir günlük kaydı hizmeti olarak işlev görmesi için yapılandırılmış olmasıdır. Bu yorum yaparak devre dışı bırakılabilir

#$ModLoad imudp
#$UDPServerRun 514
#$ModLoad imtcp
#$InputTCPServerRun 514

/etc/rsyslog.conf içinde

Görüntülemiş olduğunuz kayıt defteri son derece yararlı değil: SOMEIP’in her zaman aynı olup olmadığı veya SOMEDATETIME’nin her zaman farklı olup olmadığı veya hepsinin bir patlamada meydana gelip gelmediği veya az sayıda zaman aralığının etrafında kümelenmiş olduğu net değil.

Her halükarda, temelde çalıştırmadığınız Web Sunucunuzla bağlantı kurmaya çalışırlar, bu nedenle mesajlar yerine / var / log'a kaydedilirler. /var/log/apache2 ya da böyle bir şey. Birisinin dinlemeyen bir Web sunucusu açmak için çok çaba sarf etmesi biraz garip görünüyor, lütfen yaptığınızdan emin olun değil çıktısını kontrol ederek çalışan bir Web sunucusuna sahip olmak

 ss -lntp

Standart (80,443) veya standart olmayan portları dinleyen sunucular için.

Kalan günlükler daha ilginç hale gelir, çünkü Web sunucunuz olan PBX ile bir PBX ile bağlantı kurma girişimlerini kaydederler, bu sizin OP'nize göre çalışmadığınızı gösterir. Yine de protokol (SIP), adres, <sip:nm@nm>, ve Oturum Açıklaması Protokolü ( Accept: application/sdp ) hepsi bununla ilgili konuşur.

Bir kez daha, koşmadığınızdan emin misiniz? PBX ? Birisi makinenize yerleştirmiş gibi görünüyor. Tekrar, Eğer Makinenizin ihlal edilmediğini

ss -lnup

(TCP protokolü yerine UDP protokolü için) hangi işlemin hangi portta dinlendiğini söyleyecektir.

Fakat , eğer makineniz ihlal edilmişse, yukarıdakiler çok şüpheli bir durum rapor ederken, yasadışı bir şekilde devam etmekte olan bir şey rapor edebilir. İndirerek ve çalıştırarak korkularınızı (köklü, alas) güvence altına almaya çalışabilirsiniz chkrootkit ve rkhunter. Ayrıca burayı oku (kendi cevabımdan bahsettiğim için özür dilerim, hoş olmadığını biliyorum ama bana biraz iş kazandırdı). Ve hepsinden önemlisi, kendinize sormalısınız: ssh’de parola girişini devre dışı bıraktım ve bunun yerine şifreleme tuşları kullandım mı? Bu sorunun cevabı ise: Yok hayır , o zaman şansınız makinenizin ihlal edilmiş olmasıdır. Daha sonra sıfırdan yeniden kurmanız ve şifre ile oturum açmayı devre dışı bırakmak için yukarıdaki talimatları uygulamanız gerekir. ssh son derece daha güvenli olan ortak / özel anahtarların kullanılması lehine.