LINUX.ORG.RU
ФорумAdmin

Происходит что-то странное, есть подозрение компрометации системы. Что делать?

 ,


1

7

Здравствуйте. Первый раз с подобным сталкиваюсь, извините за сумбур.

Домашний пк: 

PRETTY_NAME="Debian GNU/Linux 9 (stretch)"
NAME="Debian GNU/Linux"
VERSION_ID="9"
VERSION="9 (stretch)"
ID=debian
Внезапно начал тупить, устал его ждать и перегрузил кнопкой.

далее открываю терминал, пытаюсь зайти на соседнюю тачку и вижу: 

ssh user@192.168.101.10
Received disconnect from 192.168.101.10 port 22:2: Too many authentication failures from user from 192.168.101.2 port 38000 ssh2

Пытаюсь зайти на туже тачку по fqdn: 

:
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@       WARNING: POSSIBLE DNS SPOOFING DETECTED!          @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
The ECDSA host key for myhost.mydomain.net has changed,
and the key for the corresponding IP address 192.168.101.10
is unchanged. This could either mean that
DNS SPOOFING is happening or the IP address for the host
and its host key have changed at the same time.
Offending key for IP in /home/user/.ssh/known_hosts:32
  remove with:
  ssh-keygen -f "/home/user/.ssh/known_hosts" -R 192.168.101.10
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@    WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED!     @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY!
Someone could be eavesdropping on you right now (man-in-the-middle attack)!
It is also possible that a host key has just been changed.
The fingerprint for the ECDSA key sent by the remote host is
SHA256:OHbQVtj4WsC4N9A6xhnRf2gY4QY6TcYACFuu6rBJctw.
Please contact your system administrator.
Add correct host key in /home/user/.ssh/known_hosts to get rid of this message.
Offending ECDSA key in /home/user/.ssh/known_hosts:1
  remove with:
  ssh-keygen -f "/home/user/.ssh/known_hosts" -R myhost.mydomain.net
ECDSA host key for myhost.mydomain.net has changed and you have requested strict checking.
Host key verification failed.

Пытаюсь зайти на другую тачку: 

ssh user@192.168.101.6
Received disconnect from 192.168.101.6 port 22:2: Too many authentication failures from user from 192.168.101.2 port 38000 ssh2

Валидны ли мои подозрения в секюрити брич?
Куда смотреть, куда бежать?

P.S. сетевой кабель выдернул

★★★

Последнее исправление: disee (всего исправлений: 2)

посмотреть не появился ли свежачок в /sbin /usr/bin /usr/sbin /etc т.е. дату изменения файлов,

anonymous
()

Что в home/ ?

Deleted
()

Валидны ли мои подозрения в секюрити брич.

Поссибильно.

anonymous
()

Смотреть в список процессов, внимательно. В том числе через pstree. В сислог смотреть. В кроны пользователей смотреть и системные кроны (hourly, daily, etc). Можно еще chkrootkit и rkhunter по разику прогнать, но глазами обычно быстрее и больше найдешь, чем ими.

slowpony ★★★★★
()
Последнее исправление: slowpony (всего исправлений: 1)
Ответ на: комментарий от slowpony

В сислогах ни намека, в баш_хистори ничего, в кронах моего пользователя, рута ничего, chkrootkit ругался на google-cloud-sdk и на /usr/lib/jvm/.java-1.8.0-openjdk-amd64.jinfo , а вот в процессах среди прочего есть вот такое: 

! Debian-+     2087 tty1   /usr/bin/python3 /usr/bin/orca --disable main-window,splash-window --enable speech,braille
! Debian-+     2113 tty1   /usr/lib/speech-dispatcher-modules/sd_dummy /etc/speech-dispatcher/modules/dummy.conf
! Debian-+     2107 tty1   /usr/lib/speech-dispatcher-modules/sd_espeak-ng /etc/speech-dispatcher/modules/espeak-ng.conf
! Debian-+     2116 tty1   /usr/lib/speech-dispatcher-modules/sd_generic /etc/speech-dispatcher/modules/generic.conf

Я TTS'ом не пользуюсь и никогда не пользовался. Счего вдруг оно загружено/запущено хз. Может оно читает все что на экране, и шлет куда-нибудь, а может параною я

disee ★★★
() автор топика
Последнее исправление: disee (всего исправлений: 1)
Ответ на: комментарий от anonymous

Запустить проверку IDS (системой обнаружения вторжений), если она установлена.

anonymous
()

Логи с соседних машинок мы конечно не смотрели? 192.168.101.6, 192.168.101.10 ?

anc ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Admin