Начну сразу в лоб. Сегодня уже под утро заглянул в почтовый ящик и решил глянуть как на работе поживает сервак, открыл письмо и увидел такую картину:
Charlie Root 03:04 svr1.hidedomen.ru security run output
Стал естественно судорожно вспоминать не накрыла ли меня амнезия и не пытался ли я авторизоваться сам. Насколько я смог вспомнить, то на этот сервак я заходил только сразу после выхода из отпуска 1 августа. Естественно полез дальше в почту и нашёл такую же картину за день до этого, а также 12 и 13 августа. Это фронтенд на нем крутится nginx, apache+php модулем, mysql, exim, proftp. За ним ещё больше десятка серверов, но не в этом дело. Сам сервак за железным балансером(на нём открыты лишь несколько портов, один из которых 1222 для SSH), увы полные логи на нём хранятся меньше часа. Можно было бы предположить, что это кто-то из коллег, но важной особенностью было то, что айпишник то мой домашний. Но меня дома не было вплоть до сегодняшнего дня и компы были вырублены, в сети был только роутер и он без радиомодуля. Дело в том что на сервера доступ по SSH возможен только с нескольких айпишников, а единственный внешний из них мой.Checking setuid files and devices:
Checking for uids of 0:
root 0
toor 0
Checking for passwordless accounts:
Checking login.conf permissions:
svr1.hidedomen.ru ipfw denied packets:
svr1.hidedomen.ru login failures:
Aug 21 00:01:35 svr1 su: BAD SU evk to root on /dev/pts/1
Aug 21 20:52:52 svr1 sshd[57284]: Invalid user evk4 from 85.xxx.xx.76
Aug 21 20:53:20 svr1 su: BAD SU evk to root on /dev/pts/0
svr1.hidedomen.ru refused connections:
-- End of security output --
Естественно сразу полез в логи авторизации (/var/log/auth.log):
И тут меня ждала неожиданная картина. Если изначально я надеялся, что прав рута получить ему так и не удалось, то тут надежды рухнули. Как можно сразу заметить в логах не хватает куска, остались лишь действительно мои авторизации. В messages тоже было подчищено. Можно сказать, что следы, каким то чудом попали попали лишь в periodic daily, и наверное таким же чудом были замечены среди писем с других машин.Jul 29 13:41:48 svr1 sshd[91039]: Accepted keyboard-interactive/pam for evk from 85.xxx.xx.76 port 60767 ssh2
Jul 29 13:41:58 svr1 su: BAD SU evk to root on /dev/pts/1
Jul 29 13:42:11 svr1 su: evk to root on /dev/pts/1
Aug 1 18:38:12 svr1 sshd[4842]: Accepted keyboard-interactive/pam for evk from 85.xxx.xx.76 port 60333 ssh2
Aug 1 18:38:20 svr1 su: evk to root on /dev/pts/1
Aug 22 05:45:53 svr1 sshd[83274]: Accepted keyboard-interactive/pam for evk from 85.xxx.xx.76 port 62663 ssh2
Aug 22 05:46:02 svr1 su: evk to root on /dev/pts/1
Если честно, то я немного в панике, каким образом это удалось провернуть:
Пароль юзера был 21 символ, а рута 25. Порты SSH для всех машин не стандартные. Естественно прямая авторизация рутом запрещена. Доступ из вне был лишь с одного айпи и лишь для определенного пользователя, и проверялось это как на шлюзе так и средствами sshd. Для всех служб были свои юзеры и группы, никак не пересекающиеся с группой wheel.
Система:
FreeBSD svr1.hidedomen.ru 8.0-RELEASE FreeBSD 8.0-RELEASE #2: Fri Jan 1 06:39:38 MSK 2010 evk@svr1.hidedoment.ru:/usr/obj/usr/src/sys/main_kernell.2009-31-12 amd64
На текущий момент сменил пароли юзера и рута, установил отправку на почту письма при загрузки, после авторизации, командной оболочки.
Но самое важное, помогите найти следы того, что могло быть изменено в системе? Какие последствия взлома? Беспокоит именно то, что практически нет следов и симптомов, и я как раз таки уверен, что я просто не могу их найти. Подскажите куда копать!
Хочу понять где я олень
Заранее, огромное человеческое спасибо!
P.S.: Если понадобятся доп. логи или конфиги, а также версии установленного софта, все выложу без проблем.