【发布时间】:2016-01-06 08:49:28
【问题描述】:
我有一台运行 Ubuntu 14.04-64 的服务器运行 OpenSSH 5.9,它在过去几天开始表现得很奇怪。 SSH 和 HTTP 连接超时。此外,我的 SSH 密钥不再有效。我不得不使用我的密码登录。然后我从我们的托管服务提供商那里得到通知,服务器在当月(一个月内的 5 天)使用了 400% 的分配带宽,而我们很少超过 10%。所以我怀疑服务器已经被入侵了。
我在 HTOP 中没有看到奇怪的 CPU 活动。我在 iftop 中没有看到奇怪的网络活动。但是,在所有 rc.Xd 目录中都设置了一个奇怪的可执行文件作为服务:S90.777{1452022308.它调用 / 目录中的另一个可执行文件 .777{1452022308。此进程以非常高的优先级运行,因此导致其他连接超时。该文件是二进制可执行文件。
我检查了服务器日志,发现:
Jan 3 09:08:32 dev1 sshd[19757]: Accepted publickey for root from X.X.X.X port 41394 ssh2: RSA 31:1c:bd:a0:d0:56:1b:e0:fd:a3:05:cc:9e:96:4e:8c
我们从来没有在我们的任何服务器上为 root 放置公钥,也永远不会。用户在服务器上停留了大约 8 分钟,然后消失了。 /root/.ssh中的authorized_keys文件为二进制格式,不可读。
我不知道用户如何能够将授权密钥文件放入 /root。这太不可思议了!
来自同一 IP 地址的其他活动(在身份验证日志中)是:
Jan 3 08:00:26 dev1 sshd[18907]: Connection closed by X.X.X.X [preauth]
Jan 3 08:31:01 dev1 sshd[19287]: Connection closed by X.X.X.X [preauth]
Jan 3 09:08:32 dev1 sshd[19757]: Accepted publickey for root from X.X.X.X port 41394 ssh2: RSA 31:1c:bd:a0:d0:56:1b:e0:fd:a3:05:cc:9e:96:4e:8c
Jan 3 09:16:26 dev1 sshd[19757]: Received disconnect from X.X.X.X: 11: disconnected by user
我已经在我们所有的其他服务器上禁用了 root ssh 登录,但我很惊讶这怎么会发生在首位。有谁知道怎么会发生这样的事情?
【问题讨论】:
-
运行
last命令应该会显示每个登录事件 - 不会告诉您如何以及为什么,但可能会为您提供关于谁和何时登录的线索。 -
@NeilMcGuigan - 不,Softlayer。
标签: linux security ubuntu ssh redis