Kirjoittaja Aihe: palvelin murrettu?  (Luettu 3860 kertaa)

ilkkak

  • Käyttäjä
  • Viestejä: 405
    • Profiili
palvelin murrettu?
« : 07.01.08 - klo:22.03 »
auth.log:sta löytyi seuraavaa. Mahtaako olla normaalia vai mitä?

Jan  7 06:25:01 kimpinen CRON[11384]: pam_unix(cron:session): session opened for user root by (uid=0)
Jan  7 06:25:01 kimpinen su[11413]: Successful su for nobody by root
Jan  7 06:25:01 kimpinen su[11413]: + ??? root:nobody
Jan  7 06:25:01 kimpinen su[11413]: pam_unix(su:session): session opened for user nobody by (uid=0)
Jan  7 06:25:01 kimpinen su[11413]: pam_unix(su:session): session closed for user nobody
Jan  7 06:25:01 kimpinen su[11417]: Successful su for nobody by root
Jan  7 06:25:01 kimpinen su[11417]: + ??? root:nobody
Jan  7 06:25:01 kimpinen su[11417]: pam_unix(su:session): session opened for user nobody by (uid=0)
Jan  7 06:25:01 kimpinen su[11417]: pam_unix(su:session): session closed for user nobody
Jan  7 06:25:01 kimpinen su[11419]: Successful su for nobody by root
Jan  7 06:25:01 kimpinen su[11419]: + ??? root:nobody
Jan  7 06:25:01 kimpinen su[11419]: pam_unix(su:session): session opened for user nobody by (uid=0)
Jan  7 06:25:02 kimpinen su[11419]: pam_unix(su:session): session closed for user nobody
Jan  7 06:25:03 kimpinen CRON[11384]: pam_unix(cron:session): session closed for user root

gdm

  • Sitä saa mitä tilaa...
  • Käyttäjä
  • Viestejä: 4363
    • Profiili
    • Keskustelualueiden säännöt
Vs: palvelin murrettu?
« Vastaus #1 : 07.01.08 - klo:22.11 »
Suosittelen lisäämään tuonne /etc/ssh/sshd_config
tiedoston loppuun rivin:

AllowUsers IlkkaK

Tai mikä nyt onkaan käyttäjätunnus koneella, ja muutenkin poistamaan root login pois käytöstä, samasta tiedostosta
Lisää [Ratkaistu] aloitusviestiin jos ongelmasi selviää!
Saamasi tuki on ilmaista, joten älä vaadi tai uhkaile saadaksesi apua!

janne

  • Käyttäjä
  • Viestejä: 5150
    • Profiili
Vs: palvelin murrettu?
« Vastaus #2 : 07.01.08 - klo:22.22 »
auth.log:sta löytyi seuraavaa. Mahtaako olla normaalia vai mitä?

no, käyttäjää nobody käytetään ajamaan joitain tiettyjä palveluita linux/unix-koneilla. jos sinulla on asennettuna palveluita (muistaakseni ainakin samba) joita ajetaan nobodyn oikeuksin, niin logi näyttäisi jotakuinkin tuollaiselta.
Janne

gdm

  • Sitä saa mitä tilaa...
  • Käyttäjä
  • Viestejä: 4363
    • Profiili
    • Keskustelualueiden säännöt
Vs: palvelin murrettu?
« Vastaus #3 : 07.01.08 - klo:22.25 »
Koodia: [Valitse]
jumala@helvetti:~$ cat /var/log/auth.log |grep nobody
Dec 15 21:27:08 localhost groupadd[7464]: new group: name=nobody, GID=1001
Tuon enempää minulla ei ollut tarjota. mutta sinun ohjeillasi Janne minä ainakin tuon ssh:n muurasin umpeen :)
Lisää [Ratkaistu] aloitusviestiin jos ongelmasi selviää!
Saamasi tuki on ilmaista, joten älä vaadi tai uhkaile saadaksesi apua!

ilkkak

  • Käyttäjä
  • Viestejä: 405
    • Profiili
Vs: palvelin murrettu?
« Vastaus #4 : 07.01.08 - klo:22.54 »
auth.log:sta löytyi seuraavaa. Mahtaako olla normaalia vai mitä?

no, käyttäjää nobody käytetään ajamaan joitain tiettyjä palveluita linux/unix-koneilla. jos sinulla on asennettuna palveluita (muistaakseni ainakin samba) joita ajetaan nobodyn oikeuksin, niin logi näyttäisi jotakuinkin tuollaiselta.

Epäilinkin. Laitetaan kuitenkin ssh-kiinni varmuuden vuoksi.
Kiitokset vastauksista

anttimr

  • Käyttäjä
  • Viestejä: 1625
    • Profiili
Vs: palvelin murrettu?
« Vastaus #5 : 07.01.08 - klo:22.57 »
Normaalia toimintaa.
Vilkaiskaapa /etc/crontab ja /etc/cron.daily/find
minulla on auth.logissa vastaavat tekstit.

Goddamn on tainnut ottaa cronin pois käytöstä.

Ubuntu 12.10 Quantal Quetzal

gdm

  • Sitä saa mitä tilaa...
  • Käyttäjä
  • Viestejä: 4363
    • Profiili
    • Keskustelualueiden säännöt
Vs: palvelin murrettu?
« Vastaus #6 : 07.01.08 - klo:23.01 »

Goddamn on tainnut ottaa cronin pois käytöstä.

Juu, näin mäkin olisin muistellut, mutta kyllä se on päällä...
Lisää [Ratkaistu] aloitusviestiin jos ongelmasi selviää!
Saamasi tuki on ilmaista, joten älä vaadi tai uhkaile saadaksesi apua!

anttimr

  • Käyttäjä
  • Viestejä: 1625
    • Profiili
Vs: palvelin murrettu?
« Vastaus #7 : 07.01.08 - klo:23.09 »
Koodia: [Valitse]
$ cat /etc/cron.daily/find
#! /bin/sh
#
# cron script to update the `locatedb' database.
#
# Written by Ian A. Murdock <imurdock@debian.org> and
#            Kevin Dalley <kevin@aimnet.com>

LOCALUSER="nobody"
export LOCALUSER
if [ -f /etc/updatedb.conf ]; then
  . /etc/updatedb.conf
fi

if getent passwd $LOCALUSER > /dev/null ; then
  cd / && nice -n ${NICE:-10} updatedb 2>/dev/null
else
  echo "User $LOCALUSER does not exist."
  exit 1
fi


Koodia: [Valitse]
man updatedb
...
--localuser=user
The user to search non-network directories as, using su(1).  Default is to search the non-network directories as
the current user.  You can also use the environment variable LOCALUSER to set this user.

Eli updatedb:n etsintä ajetaan käyttäjän nobody oikeuksin. Taitaa olla turvallisuuden kannalta ennemmin plussaa kuin miinusta.
« Viimeksi muokattu: 07.01.08 - klo:23.36 kirjoittanut anttimr »
Ubuntu 12.10 Quantal Quetzal

Tuplanolla

  • Käyttäjä
  • Viestejä: 1420
  • Reg. Linux user #423604
    • Profiili
Vs: palvelin murrettu?
« Vastaus #8 : 09.01.08 - klo:08.02 »
Jep, eihän tossa edes lue sshd, eli siinä ei ole ssh:sta kyse.
Lisää [ratkaistu] ketjun ensimmäisen viestin otsikkoon, kun ongelma ratkeaa!