LINUX.ORG.RU
решено ФорумAdmin

Кто-то подменяет /usr/sbin/sshd. Помогите отыскать концы


0

3

На сервере периодически наблюдаю подмену исполняемого файла демона ssh. Все попытки найти шеллы на стороне php-fpm не успешны.

Поставил auditd, настроил наблюдение за файлом. Вот, что сегодня появилось в логах:

894. 10/25/2013 01:34:11 (null) inode=259751 dev=fc:01 mode=0100644 ouid=0 ogid=0 rdev=00:00 open yes /usr/bin/lsattr unset 952
895. 10/25/2013 01:34:10 (null) inode=259751 dev=fc:01 mode=0100644 ouid=0 ogid=0 rdev=00:00 open yes /usr/bin/lsattr unset 951
896. 10/25/2013 01:34:29 (null) inode=259751 dev=fc:01 mode=0100644 ouid=0 ogid=0 rdev=00:00 rename yes /bin/sed unset 955
897. 10/25/2013 01:34:29 (null) inode=259751 dev=fc:01 mode=0100644 ouid=0 ogid=0 rdev=00:00 open yes /bin/sed unset 953
898. 10/25/2013 01:36:15 (null) inode=178409 dev=fc:01 mode=0100755 ouid=0 ogid=0 rdev=00:00 unlink yes /usr/bin/install unset 957
899. 10/25/2013 01:36:15 /usr/sbin/ open yes /usr/bin/install unset 959
900. 10/25/2013 01:36:15 (null) inode=171307 dev=fc:01 mode=0100755 ouid=0 ogid=0 rdev=00:00 fsetxattr no /usr/bin/install unset 960
901. 10/25/2013 01:36:15 (null) inode=171307 dev=fc:01 mode=0100755 ouid=0 ogid=0 rdev=00:00 fchmod yes /usr/bin/install unset 961
902. 10/25/2013 01:36:15 (null) inode=171307 dev=fc:01 mode=0100600 ouid=0 ogid=0 rdev=00:00 rename yes /usr/bin/strip unset 963
903. 10/25/2013 01:36:15 /usr/sbin/sshd chmod yes /usr/bin/strip unset 964
904. 10/25/2013 01:36:15 /usr/sbin/sshd chown yes /usr/bin/strip unset 965
905. 10/25/2013 01:36:15 /usr/sbin/sshd chmod yes /usr/bin/strip unset 966
906. 10/25/2013 01:36:15 /usr/sbin/sshd chmod yes /usr/bin/install unset 967
907. 10/25/2013 01:36:15 (null) inode=263989 dev=fc:01 mode=0100644 ouid=0 ogid=0 rdev=00:00 open yes /usr/sbin/sshd unset 968
908. 10/25/2013 01:36:16 (null) inode=263989 dev=fc:01 mode=0100644 ouid=0 ogid=0 rdev=00:00 open yes /usr/sbin/sshd unset 969
909. 10/25/2013 01:36:16 (null) inode=173249 dev=fc:01 mode=0100755 ouid=0 ogid=0 rdev=00:00 open no /usr/share/rsync/touch unset 970
910. 10/25/2013 01:36:16 (null) inode=263989 dev=fc:01 mode=0100644 ouid=0 ogid=0 rdev=00:00 open yes /bin/egrep unset 971
911. 10/25/2013 01:38:47 (null) inode=260016 dev=fc:01 mode=0100644 ouid=0 ogid=0 rdev=00:00 open yes /bin/cat unset 972

Более подробный анализ лога:

# ausearch -a 952
----
time->Fri Oct 25 01:34:11 2013
type=PATH msg=audit(1382650451.931:952): item=1 name="/etc/ssh/sshd_config" inode=259751 dev=fc:01 mode=0100644 ouid=0 ogid=0 rdev=00:00
type=PATH msg=audit(1382650451.931:952): item=0 name=(null) inode=259751 dev=fc:01 mode=0100644 ouid=0 ogid=0 rdev=00:00
type=CWD msg=audit(1382650451.931:952):  cwd="/var/log"
type=SYSCALL msg=audit(1382650451.931:952): arch=c000003e syscall=2 success=yes exit=3 a0=7fff699f89ac a1=800 a2=7fff699f7b30 a3=7fff699f78d0 items=2 ppid=609 pid=610 auid=4294967295 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=pts1 ses=4294967295 comm="lsattr" exe="/usr/bin/lsattr" key=(null)
# ausearch -a 951
----
time->Fri Oct 25 01:34:10 2013
type=PATH msg=audit(1382650450.426:951): item=1 name="/etc/ssh/sshd_config" inode=259751 dev=fc:01 mode=0100644 ouid=0 ogid=0 rdev=00:00
type=PATH msg=audit(1382650450.426:951): item=0 name=(null) inode=259751 dev=fc:01 mode=0100644 ouid=0 ogid=0 rdev=00:00
type=CWD msg=audit(1382650450.426:951):  cwd="/var/log"
type=SYSCALL msg=audit(1382650450.426:951): arch=c000003e syscall=2 success=yes exit=4 a0=84d9e0 a1=800 a2=7fff0d5e14f0 a3=0 items=2 ppid=476 pid=477 auid=4294967295 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=pts1 ses=4294967295 comm="lsattr" exe="/usr/bin/lsattr" key=(null)
# ausearch -a 955
----
time->Fri Oct 25 01:34:29 2013
type=PATH msg=audit(1382650469.933:955): item=5 name="/etc/ssh/sshd_config" inode=263989 dev=fc:01 mode=0100644 ouid=0 ogid=0 rdev=00:00
type=PATH msg=audit(1382650469.933:955): item=4 name="/etc/ssh/sshd_config" inode=259751 dev=fc:01 mode=0100644 ouid=0 ogid=0 rdev=00:00
type=PATH msg=audit(1382650469.933:955): item=3 name="/etc/ssh/sed68Dr2N" inode=263989 dev=fc:01 mode=0100644 ouid=0 ogid=0 rdev=00:00
type=PATH msg=audit(1382650469.933:955): item=2 name="/etc/ssh/" inode=261295 dev=fc:01 mode=040755 ouid=0 ogid=0 rdev=00:00
type=PATH msg=audit(1382650469.933:955): item=1 name="/etc/ssh/" inode=261295 dev=fc:01 mode=040755 ouid=0 ogid=0 rdev=00:00
type=PATH msg=audit(1382650469.933:955): item=0 name=(null) inode=259751 dev=fc:01 mode=0100644 ouid=0 ogid=0 rdev=00:00
type=CWD msg=audit(1382650469.933:955):  cwd="/usr/lib/zlibcc/openssh"
type=SYSCALL msg=audit(1382650469.933:955): arch=c000003e syscall=82 success=yes exit=0 a0=142ea60 a1=7fff8bb2f9a5 a2=142ea60 a3=7fff8bb2d830 items=6 ppid=439 pid=1413 auid=4294967295 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=pts1 ses=4294967295 comm="sed" exe="/bin/sed" key=(null)
# ausearch -a 953
----
time->Fri Oct 25 01:34:29 2013
type=PATH msg=audit(1382650469.433:953): item=1 name="/etc/ssh/sshd_config" inode=259751 dev=fc:01 mode=0100644 ouid=0 ogid=0 rdev=00:00
type=PATH msg=audit(1382650469.433:953): item=0 name=(null) inode=259751 dev=fc:01 mode=0100644 ouid=0 ogid=0 rdev=00:00
type=CWD msg=audit(1382650469.433:953):  cwd="/usr/lib/zlibcc/openssh"
type=SYSCALL msg=audit(1382650469.433:953): arch=c000003e syscall=2 success=yes exit=3 a0=7fff8bb2f9a5 a1=0 a2=1b6 a3=0 items=2 ppid=439 pid=1413 auid=4294967295 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=pts1 ses=4294967295 comm="sed" exe="/bin/sed" key=(null)
# ausearch -a 957
----
time->Fri Oct 25 01:36:15 2013
type=PATH msg=audit(1382650575.432:957): item=2 name="/usr/sbin/sshd" inode=178409 dev=fc:01 mode=0100755 ouid=0 ogid=0 rdev=00:00
type=PATH msg=audit(1382650575.432:957): item=1 name="/usr/sbin/" inode=170360 dev=fc:01 mode=040755 ouid=0 ogid=0 rdev=00:00
type=PATH msg=audit(1382650575.432:957): item=0 name=(null) inode=178409 dev=fc:01 mode=0100755 ouid=0 ogid=0 rdev=00:00
type=CWD msg=audit(1382650575.432:957):  cwd="/usr/lib/zlibcc/openssh"
type=SYSCALL msg=audit(1382650575.432:957): arch=c000003e syscall=87 success=yes exit=0 a0=7fff7f10e984 a1=7fff7f10e984 a2=7fff7f10cef0 a3=7fff7f10ca20 items=3 ppid=15831 pid=15888 auid=4294967295 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=pts1 ses=4294967295 comm="install" exe="/usr/bin/install" key=(null)
# ausearch -a 959
----
time->Fri Oct 25 01:36:15 2013
type=PATH msg=audit(1382650575.432:959): item=1 name="/usr/sbin/sshd" inode=171307 dev=fc:01 mode=0100755 ouid=0 ogid=0 rdev=00:00
type=PATH msg=audit(1382650575.432:959): item=0 name="/usr/sbin/" inode=170360 dev=fc:01 mode=040755 ouid=0 ogid=0 rdev=00:00
type=CWD msg=audit(1382650575.432:959):  cwd="/usr/lib/zlibcc/openssh"
type=SYSCALL msg=audit(1382650575.432:959): arch=c000003e syscall=2 success=yes exit=4 a0=7fff7f10e984 a1=c1 a2=1ed a3=7fff7f10ca20 items=2 ppid=15831 pid=15888 auid=4294967295 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=pts1 ses=4294967295 comm="install" exe="/usr/bin/install" key=(null)
# ausearch -a 960
----
time->Fri Oct 25 01:36:15 2013
type=PATH msg=audit(1382650575.432:960): item=0 name=(null) inode=171307 dev=fc:01 mode=0100755 ouid=0 ogid=0 rdev=00:00
type=SYSCALL msg=audit(1382650575.432:960): arch=c000003e syscall=190 success=no exit=-95 a0=4 a1=2b87057abd57 a2=1241870 a3=1c items=1 ppid=15831 pid=15888 auid=4294967295 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=pts1 ses=4294967295 comm="install" exe="/usr/bin/install" key=(null)
# ausearch -a 961
----
time->Fri Oct 25 01:36:15 2013
type=PATH msg=audit(1382650575.432:961): item=0 name=(null) inode=171307 dev=fc:01 mode=0100755 ouid=0 ogid=0 rdev=00:00
type=SYSCALL msg=audit(1382650575.432:961): arch=c000003e syscall=91 success=yes exit=0 a0=4 a1=180 a2=180 a3=7fff7f10ca00 items=1 ppid=15831 pid=15888 auid=4294967295 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=pts1 ses=4294967295 comm="install" exe="/usr/bin/install" key=(null)
# ausearch -a 963
----
time->Fri Oct 25 01:36:15 2013
type=PATH msg=audit(1382650575.432:963): item=5 name="/usr/sbin/sshd" inode=173249 dev=fc:01 mode=0100711 ouid=0 ogid=0 rdev=00:00
type=PATH msg=audit(1382650575.432:963): item=4 name="/usr/sbin/sshd" inode=171307 dev=fc:01 mode=0100600 ouid=0 ogid=0 rdev=00:00
type=PATH msg=audit(1382650575.432:963): item=3 name="/usr/sbin/stUlLwXa" inode=173249 dev=fc:01 mode=0100711 ouid=0 ogid=0 rdev=00:00
type=PATH msg=audit(1382650575.432:963): item=2 name="/usr/sbin/" inode=170360 dev=fc:01 mode=040755 ouid=0 ogid=0 rdev=00:00
type=PATH msg=audit(1382650575.432:963): item=1 name="/usr/sbin/" inode=170360 dev=fc:01 mode=040755 ouid=0 ogid=0 rdev=00:00
type=PATH msg=audit(1382650575.432:963): item=0 name=(null) inode=171307 dev=fc:01 mode=0100600 ouid=0 ogid=0 rdev=00:00
type=CWD msg=audit(1382650575.432:963):  cwd="/usr/lib/zlibcc/openssh"
type=SYSCALL msg=audit(1382650575.432:963): arch=c000003e syscall=82 success=yes exit=0 a0=b17ae0 a1=7fffdce05986 a2=7fffdce05390 a3=7fffdce05130 items=6 ppid=15888 pid=15889 auid=4294967295 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=pts1 ses=4294967295 comm="strip" exe="/usr/bin/strip" key=(null)
# ausearch -a 964
----
time->Fri Oct 25 01:36:15 2013
type=PATH msg=audit(1382650575.432:964): item=0 name="/usr/sbin/sshd" inode=173249 dev=fc:01 mode=0100711 ouid=0 ogid=0 rdev=00:00
type=CWD msg=audit(1382650575.432:964):  cwd="/usr/lib/zlibcc/openssh"
type=SYSCALL msg=audit(1382650575.432:964): arch=c000003e syscall=90 success=yes exit=0 a0=7fffdce05986 a1=180 a2=7fffdce05390 a3=7fffdce05130 items=1 ppid=15888 pid=15889 auid=4294967295 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=pts1 ses=4294967295 comm="strip" exe="/usr/bin/strip" key=(null)
# ausearch -a 965
----
time->Fri Oct 25 01:36:15 2013
type=PATH msg=audit(1382650575.432:965): item=0 name="/usr/sbin/sshd" inode=173249 dev=fc:01 mode=0100600 ouid=0 ogid=0 rdev=00:00
type=CWD msg=audit(1382650575.432:965):  cwd="/usr/lib/zlibcc/openssh"
type=SYSCALL msg=audit(1382650575.432:965): arch=c000003e syscall=92 success=yes exit=0 a0=7fffdce05986 a1=0 a2=0 a3=7fffdce05130 items=1 ppid=15888 pid=15889 auid=4294967295 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=pts1 ses=4294967295 comm="strip" exe="/usr/bin/strip" key=(null)
# ausearch -a 966
----
time->Fri Oct 25 01:36:15 2013
type=PATH msg=audit(1382650575.432:966): item=0 name="/usr/sbin/sshd" inode=173249 dev=fc:01 mode=0100600 ouid=0 ogid=0 rdev=00:00
type=CWD msg=audit(1382650575.432:966):  cwd="/usr/lib/zlibcc/openssh"
type=SYSCALL msg=audit(1382650575.432:966): arch=c000003e syscall=90 success=yes exit=0 a0=7fffdce05986 a1=180 a2=0 a3=7fffdce05130 items=1 ppid=15888 pid=15889 auid=4294967295 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=pts1 ses=4294967295 comm="strip" exe="/usr/bin/strip" key=(null)
# ausearch -a 967
----
time->Fri Oct 25 01:36:15 2013
type=PATH msg=audit(1382650575.432:967): item=0 name="/usr/sbin/sshd" inode=173249 dev=fc:01 mode=0100600 ouid=0 ogid=0 rdev=00:00
type=CWD msg=audit(1382650575.432:967):  cwd="/usr/lib/zlibcc/openssh"
type=SYSCALL msg=audit(1382650575.432:967): arch=c000003e syscall=90 success=yes exit=0 a0=7fff7f10e984 a1=1ed a2=ffffffff a3=7fff7f10ced0 items=1 ppid=15831 pid=15888 auid=4294967295 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=pts1 ses=4294967295 comm="install" exe="/usr/bin/install" key=(null)

Правильно ли я понимаю, что есть какой-то доступ к нескомпроментированному ssh, при помощи которого подключаются к серваку, а затем меняют исполняемый файл на уже скомпроментированный? Может, знают приватные ключи или щё какие-нть версии?

Если де-то описан аналогичный способ взлома, поделитесь ссылкой, пжлст

rkhunter бери и чисть

anonymous ()

А там /usr/lib/zlibcc/openssh есть что-нибудь?

Chumka ★★★ ()
Ответ на: комментарий от Chumka

нет, самого файла нет.

В общем, проблему решил перегенерацией ключей, копированием sshd_config с нескомпроментированного сервера и закрыванием доступа root.

В целом пока что исполняемый файл не менялся.

P.S. Видимо мы обидели взломщика своей наглостью и в настоящий момент нас DDoS-ят )

abr_linux ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.