Кто пишет /var/log/userlog?

[savio]

На хостинг-сервере есть "дыра". Кто-то создает юзера, выполняет от его имени сканирование портов, в итоге грохает все содержимое /var/log

настроил AUDIT((flag: all) - не отслеживает команды adduser и rmuser
Настроил syslog-ng, но толку мало
Кто пишет /var/log/userlog? syslog этим не занимается, поскольку в конфиге нету о /var/log/userlog ничего

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[dmtr]

хотелось бы убедиться в истинности посылки

в итоге грохает все содержимое /var/log

там какие-то необычные права на файлы у вас стоят? не

Код: Выделить всё

-rw-r--r--  1 root  wheel

??

а эта инфа

создает юзера, выполняет от его имени сканирование портов

откуда?
и зачем для этого создавать пользователя, если потом все равно тереть /var/log?

по /home/*/*history поиск ничего не дает?

[savio]

drwxr-xr-x 2 mail mail 512 Feb 15 14:31 exim
drwxr-xr-x 3 root wheel 512 Feb 15 14:31 httpd
-rw-r--r-- 1 root wheel 47807 Feb 15 16:50 messages
drwxr-xr-x 2 root wheel 512 Feb 15 16:44 proftpd
-rw------- 1 root wheel 4006 Feb 15 16:41 userlog
-rw-r--r-- 1 root wheel 228390 Feb 15 16:44 xferlog

откуда я знаю зачем создавать пользователя. я констатирую факт. меня сейчас интересует каким образом этот юзер создается. вернее кто его создает.

[dmtr]

по /home/*/*history поиск ничего не дает?

[dmtr]

The pw utility writes a log to the /var/log/userlog file when actions
such as user or group additions or deletions occur. The location of this
logfile can be changed in pw.conf(5).

[savio]

О! спасибо за идею. туплю... сейчас буду смотреть на предмет adduser

[savio]

history файлов нету ни у кого, кроме пару юзеров (но там чисто)
скриптом пере установил права на папки юзеров. запретил удалять содержимое var/log через chflags
пока все тихо. как злоумышленник получал права рута пока загадка...

[dmtr]

а через pw.conf не пробовали лог в другое место писать? даже если пока тишина, лучше перенастроить? если рецидив будет - будут лапки

[savio]

думал, переложу, но думаю что мне тот лог ничего не даст. adduser разрешено только от root'а. нужно думать как он берет права рута.

[Sadok123]

Код: Выделить всё

 cat /root/.ssh/authorized_keys

?

[savio]

cat: /root/.ssh/authorized_keys: No such file or directory

[dmtr]

Код: Выделить всё

# ls -l /root/.ssh/ |grep autho
-rw-r--r--  1 root  wheel  1526 Jul 25  2011 authorized_keys2

[savio]

чисто все

[dmtr]

Код: Выделить всё

# grep . /usr/local/etc/sudoers |grep -v ^#
root    ALL=(ALL) ALL
wassya        ALL=(programmers)   NOPASSWD: /usr/bin/top
wassya        ALL=(programmers)   NOPASSWD: /bin/ps

[savio]

я это проверил в первую очередь. там все ок.

[GhOsT_MZ]

А много пользователей имеют авторизированный доступ к самому серверу?
Просто дело в том, что недавно столкнулся с подобной проблемой: на одном ресурсе постоянно менялись php-скрипты, куда добавлялась реклама. Думали, что лезли через дырку и меняли их. Реальность оказалось намного проще - во всех пакостях был виноват администратор.

[Gloft]

Если есть возможность то настрой отправку syslog сообщений на другой сервер.
Даже если все сотрут на скопроментированной машине, логи останутся нетронутыми на другой.
Хотя уже поздно, но установи ports/security/aide пусть проверяет по крону изменения в системе например раз в час и результаты отсылает на твой ящик.
Там сразу увидишь что меняют.
Можно попробовать поставить termlog но надо обеспечить чтобы он логи скидывал не на локальную машину.

[savio]

спасибо за помощь,попробую, поскольку проблема осталась актуальной.

[dmtr]

проблема осталась актуальной.

это всмысле

запретил удалять содержимое var/log через chflags

не помогло??

Код: Выделить всё

/var/cron/tabs

проверяли?

[savio]

chflags помогло, но это разве решение проблемы?
через пару дней снял chflags, в тот же день /var/log стал пустым
audit'ом ничего не могу найти, наверное не там рою.....

[Gloft]

По хорошему надо снять образ с системы и полностью переустановить ОС.
А уже потом не спеша проверять что там и как было взломано.
Хотя шансов не так много.
Играть в кошки мышки можно долго.
Кроме всего прочего можно воспользоваться rkhunter и chkrootkit.

[dmtr]

включить кроном мониторинг типа

Код: Выделить всё

# last -10 >> /path/to/mylog

раз в минуту (или чаще, sleep)
по идее последний залогинившийся и будет злодей.

[savio]

если кому интересно, то прошо помочь идеей

аудит палит факт удаления из /var/log (создал папку /var/log/papka, в ней подкаталог и пустой текстовый файл)

header,120,11,rmdir(2),0,Mon Feb 27 02:55:39 2012, + 126 msec
path,/var/log/papka/test
attribute,755,root,wheel,70,33820674,135082191
subject,-1,root,wheel,root,wheel,98110,0,0,0.0.0.0
return,success,0
trailer,120

header,124,11,unlink(2),0,Mon Feb 27 02:55:39 2012, + 126 msec
path,/var/log/papka/test.txt
attribute,644,root,wheel,70,33820676,0
subject,-1,root,wheel,root,wheel,98110,0,0,0.0.0.0
return,success,0
trailer,124

header,86,11,rmdir(2),0,Mon Feb 27 02:55:39 2012, + 126 msec
path,/var/log/papka
subject,-1,root,wheel,root,wheel,98110,0,0,0.0.0.0
return,failure : Operation not permitted,4294967295
trailer,86

Но аудит дает только номер процесса (в даном случаи 98110), а мне нужно название название службы/программы, путь к запущеному скрипту и так далее с этим PID'ом.
есть в природе что-то такое?