Я арендовал VPS в течение полугода (в образовательных целях), и я пытался узнать как можно больше о его безопасности.
Недавно он был взломан, и я подозреваю, что он использовался как чей-то прокси-сервер за неделю до того, как я понял. У меня были журналы от пользователей «анонимный» и «никто» входил и выходил через SSH, и загрузка ЦП была вне графика - буквально.
В любом случае, я переустанавливал его и заново применял все, что знал, чтобы проверить, произойдет ли это снова, и через 24 часа после переустановки, я думаю, это произошло.
Вот соответствующие журналы, /var/log/auth.logкоторые заставляют меня чувствовать себя параноиком:
Oct 31 06:30:21 vultr su[24157]: Successful su for nobody by root Oct 31 06:30:21 vultr su[24157]: + ??? root:nobody Oct 31 06:30:21 vultr su[24157]: pam_unix(su:session): session opened for user nobody by (uid=0) Oct 31 06:30:21 vultr systemd: pam_unix(systemd-user:session): session opened for user nobody by (uid=0) Oct 31 06:30:21 vultr systemd-logind[503]: New session 40 of user nobody. Oct 31 06:30:24 vultr su[24157]: pam_unix(su:session): session closed for user nobody Oct 31 06:30:24 vultr systemd-logind[503]: Removed session 40.
Я не был тем, кто мог аутентифицироваться в 6:30 утра, поэтому, естественно, я волнуюсь, что снова где-то напутал ...
(примечание: .bash_historyof rootничего подозрительного не показывает, и, насколько я знаю, у пользователя nobodyнет .bash_history- поправьте меня, если я ошибаюсь)
Аутентификация по паролю отключена для SSH, возможна только аутентификация по SSH-ключу, поэтому я действительно озадачен тем, что делать дальше, поскольку кому-то все же удалось получить доступ (я думаю).
Я читал эту статью об эксплойте phpMyAdmin, когда злоумышленник получил доступ к пользователю «nobody». Однако я не думаю, что это применимо к моему случаю, потому что согласно моим журналам Apache не было никаких попыток получить доступ к странице phpMyAdmin, не говоря уже о том, что статья датирована 2010 годом, и моя страница phpMyAdmin на данный момент недоступна ,
Однако тип запросов, которые получает Apache, меня немного беспокоит, вот пример (из /var/log/apache2/access.log):
в то время как я ожидал бы чего-то большего, как это:
my ip - - [31/Oct/2015:14:47:58 +0000] "GET / HTTP/1.1" 200 589 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/44.0.2403.130 Safari/537.36"
Я не понимаю, что достигается, пытаясь
"GET http://testp4.pospr.waw.pl/testproxy.php"
с моего сервера. Там нет такого файла или каталога в/var/www/html
Я перечислю все, что я сделал, чтобы попытаться остаться в безопасности после переустановки. Пожалуйста, укажите, если вы думаете, что я сделал что-то неправильно или я ничего не сделал вообще.
Что я сделал:
Свежая установка Ubuntu 15.04
Генерация пары открытого и закрытого ключей
Добавить мой открытый ключ в мой authorized_keysфайл на моем сервере
Измените эти настройки /etc/ssh/sshd_config, таким образом отключив аутентификацию по паролю и разрешив только аутентификацию по ключу SSH.
PermitRootLogin without-password RSAAuthentication yes PubkeyAuthentication yes PasswordAuthentication no
перезагружать
Установите вещи, которые мне нужны, в следующем порядке:
Все остальное, что я не упомянул, по умолчанию, все установленное программное обеспечение обновлено.
Пожалуйста, дайте мне знать, если журналы, которые я показал ранее, о чем-то беспокоиться. Я также был бы очень признателен, если бы вы сообщили мне, неверна ли моя конфигурация и что я могу сделать, чтобы улучшить свою безопасность. Кроме того, если вы знаете какие-либо хорошие статьи по этому вопросу, которые будут очень полезны в долгосрочной перспективе.
Больше информации о пользователе `nobody`: https://askubuntu.com/questions/329714/what-is-the-purpose-of-the-nobody-user
9 лет назад
0
@AustinHartzheim Спасибо за ссылку!
9 лет назад
0
1 ответ на вопрос
0
Stuart Cardall
Run hiawatha webserver as a reverse proxy in front of your webserver. It will block exploits such as this (they will be blocked as "garbage") in the logs: