Szerver bejutas - banyaszas?

Linux-kezdő

Üdv!

 

Van egy debian szerver, ami a jelek szerint nem volt eléggé védett, és most vettem észre, hogy az egyik felhasználó névterében furcsa dolgok futnak. 2 rsync process, illetve találtam egy néhány napja létrehozott könyvtárat, aminek ez a tartalma:

 

ls -l
total 3088
-rw-r--r-- 1 spam spam    5382 Feb 28 14:01 config_background.json
-rw-r--r-- 1 spam spam    2579 Feb 28 13:57 config.json
-rwxr-xr-x 1 spam spam     450 Feb 28 13:57 miner.sh
-rwxr-xr-x 1 spam spam 2756500 Feb 26 16:44 xmrig
-rw-r--r-- 1 spam spam  380590 Mar  2 21:07 xmrig.log

 

Jól sejtem, hogy valaki bányászni kezdett el az adott gépen?

 

A felhasználó tulajdonképpen üres, valós tevékenységet nem futtatott, de mégis mit érdemes ilyenkor megnézni? auth.log-ból úgy látom, hogy 3 napja léptek be először.

 

A 2 rsyncet kilőttem, még ezek a processzek futnak néhány másodpercig az adott felhasználó névterében:

 

spam      241958  0.0  0.0  15364  8700 ?        Ss   Feb28   0:00 /lib/systemd/systemd --user
spam      241959  0.0  0.0 168168  2812 ?        S    Feb28   0:00 (sd-pam)
spam     1361449 1051  3.6 2463860 2424160 ?     Ssl  14:37 4151:28 ./kswapd0
spam     1460180  0.0  0.0  74368  7876 ?        SNsl 21:06   0:00 /home/spam/c3pool/xmrig --config=/home/spam/c3pool/config_background.json

 

Néhány fontosabb munin grafikon, amik picit változtak.

Munin graphs

Köszi.

( zeller | 2024. 03. 02., szo – 23:01 )

Hálózati kábelt gépből kihúz, az a nulladik lépés, utána lehet bármit is csinálni. (Tiszta telepítés, megfelelően szigorú jelszópolicy, iletve hozzáférések korlátozása, ha kint van a nagyvilágban, akkor 2FA, és csak a tényleg szükséges (GeoIP) irányból engedni bármit is befelé, illetve kifelé is(!) .

( Rt711 v | 2024. 03. 02., szo – 23:15 )

Igen, úgy tűnik hogy bányásznak rajta, de nem biztos hogy csak ennyi történt azzal a géppel.

Betörés után:

  • Ha jogi útra terelődik a dolog akkor érdemes snapshot és legal hold.
  • Követjük a belső folyamatokat amit betörés esetére tettünk félre.
  • A fileok integritását meg kell őrizni ahogy találtad (ezért a snapshot), és a szolgáltatást visszaállítani egy új gépen (csomagok frissítve, latest patch), esetleg ezt a bizonyos felhasználót letiltani míg ki nem derül hogyan jöttek be.

A jövőre való tekintettel:

  • érdemes átnézni a https://www.redhat.com/sysadmin/security-intrusion-detection -t IDS és IPS különbségeit megérteni és implementálni ami adott környezetben használható.
  • Logok (rendszer és szolgáltatások) központi helyre gyűjtése: ElasticSearch, OpenSearch.
  • Rendszer folyamatos monitorozása és alert ha ismeretlen helyről lépnek be.
  • Hardening - csak az abszolút minimum legyen mindig telepítve.
  • Patch management.

Még valami:
Tört gépen egy binárisban sem lehet megbízni,pl az ls és ps is lehet patchelt, ezért amilyen kimenetet ott láttál az nem mérvadó.
Ha érdekel mi történt a gépen akkor a snapshot másolatát virtuális gépben mountolod read-only módban és egy live distroval nézegetheted a fileokat és a logokat, esetleg betolod a logokat ElasticSearch - be és onnan már aránylag egyszerűen lehet keresni - persze ha nincs ilyennel tapatszalatod akkor ez persze most nem jön szóba. rkhunter futtatása nem árthat.