Я думаю, что мое поле Ubuntu было прервано, и хакера судятся к спаму (через порт 25) с моим компьютером.
Часть /var/log/auth.log
извлечен как ниже (я изменил фактического пользователя в myuser
и некоторый внешний IP-адрес в 1.2.3.x
):
Feb 20 06:07:12 ubuntu systemd-logind[954]: New session 77 of user myuser.
Feb 20 06:08:22 ubuntu sshd[21251]: error: connect_to 1.2.3.4 port 25: failed.
Feb 20 06:08:22 ubuntu sshd[21251]: error: connect_to 1.2.3.5 port 25: failed.
Feb 20 06:08:22 ubuntu sshd[21251]: error: connect_to 1.2.3.5 port 25: failed.
Feb 20 06:08:22 ubuntu sshd[21251]: error: connect_to 1.2.3.6 port 25: failed.
...(thousands of similar lines follows)...
Так как сообщение об ошибке было сгенерировано sshd
, Я предполагаю, что хакер получил доступ посредством входа в систему SSH как myuser
. Его соответствующая запись в /etc/passwd
как указано ниже:
myuser:x:1003:1004:myuser:/home/myuser:/bin/false
Я предполагаю, что хакер не должен был мочь войти в систему как оболочка для myuser
/bin/false
, т.е. это должно быть сразу выгнано, даже если он может войти в систему. Я не могу войти в систему myuser
через PuTTY также. Учетная запись для моего собственного входа в систему - что-то как:
Feb 22 10:26:58 ubuntu sshd[3653]: pam_unix(sshd:session): session opened for user myuser by (uid=0)
Feb 22 10:26:58 ubuntu systemd-logind[734]: New session 2 of user myuser.
Feb 22 10:26:58 ubuntu sshd[3653]: pam_unix(sshd:session): session closed for user myuser
Так, очевидно, существует что-то не так с моими настройками, и/или /bin/false
не работает в /etc/passwd
файл. Что случилось с моей текущей установкой, и как я должен починить лазейку?
Эта статья в commandline.ninja о/bin/false,/sbin/nologin и SSH, кажется, отвечает на Ваш вопрос.
Хакер может обойти защиту использования /bin/false
как оболочка для того пользователя, использующего перенаправление портов через ssh
команда как:
[user@panel~] ssh -N testacct@linuxserver.cconn.info -L 2525:127.0.0.1:25
Самое простое и самое решительное, если это возможно, в Вашем сценарии, должны просто отключить перенаправление портов TCP в Вашем
sshd
конфигурационный файл (/etc/ssh/sshd_config
во многих системах):AllowAgentForwarding no AllowTcpForwarding no X11Forwarding no
/etc/shadow
и набор пароль пользователя, чтобы быть *
Теневое наличие пароля *
как зашифрованный пароль в /etc/shadow
средства, что учетная запись заблокирована, пользователь, будут не мочь войти в систему через аутентификацию по паролю, но другие методы (например, ключ SSH) могут быть все еще позволены.
Больше информации может быть найдено в commandline.ninja о/bin/false,/sbin/nologin и SSH.