Dotaz: Hack serveru

Ahoj, narazil jsem na problém, že můj server začal spamovat. Po prozkoumání logů jsem zjistil, že nebylo prolomené smtp, ale že spam dochází přímo z localhostu. Po dalším bádání jsem zjistil, že se útočník/robot připojit přes ssh. A tady už si nevím rady:

Po puštění "w" mi to žádného uživatele neukázalo. Až přes netastat a ps jsem našel ssh instance - byl připojený na uživatele ftp. A tady začíná to, co nechápu, uživatel ftp má nastavené nějaké heslo, ani nevím jaké, ale hlavně shell má /bin/false

ftp:x:1001:1001:,,,:/home/ftp:/bin/false

a i přesto je v auth.log toto

May  2 16:09:17 mail sshd[23136]: Accepted password for ftp from 213.233.103.232 port 21798 ssh2
May  2 16:09:17 mail sshd[23136]: pam_unix(sshd:session): session opened for user ftp by (uid=0)
May  2 16:09:17 mail systemd-logind[674]: New session 634 of user ftp.

Můžete mi někdo prosím poradit, kde hledat, jak je možné, že se na tohoto uživatele připojil? Děkuji.

Ak tam nemáš uhadnutelné heslo, tak to vidím na hack cez nejakú zraniteľnosť. Keďže existujú zraniteľnosti, ktoré dokážu dať roota komukoľvek. Či je to tvoj prípad to neviem.

Taktiež neviem o akého útočníka ide, to znamená, že je ťažke posúdiť či tam nie je aj nejaká logicka pasca. Záleži čo tam máš za data.

hlavně shell má /bin/false

To není žádné hlavně, výchozí shell není žádná bezpečnostní ochrana. Výchozí shell pouze říká, co se má spustit, pokud uživatel neřekne jinak – a útočník samozřejmě zvolí ke spuštění něco, co on potřebuje.

uživatel ftp má nastavené nějaké heslo, ani nevím jaké

Když nevíte, jaké má heslo, nemůžete vědět, zda je bezpečné. A opravdu potřebujete mít na sshd povolené přihlášení heslem? Nebylo by lepší povolit jen přihlášení klíčem?

root      1728  0.0  0.2  12112  4364 ?        Ss   kvě02   0:00 pure-ftpd (SERVER)

May  2 16:09:17 mail sshd[23136]: Accepted password for ftp from 213.233.103.232 port 21798 ssh2

ftp:x:1001:1001:,,,:/home/ftp:/bin/false

ftp:*:9797:0:::::

ftp:x:14:50::/home/ftp:/bin/false

Proč máš povolené přihlašování heslem? To je rizikový nesmysl, který je příčinou (skoro) všeho zla na světě. Zakaž přihlašování heslem a bude po problémech.

PasswordAuthentication no
ChallengeResponseAuthentication no
KbdInteractiveAuthentication no

Pamatuju si správce sítě, který dokonce pravidelně kontroloval skriptem všechny místní počítače, zda náhodou nemají SSH server s autentifikací heslem, a které takovou holou zadnici měly, ty automaticky odpojil od sítě (což jde s povinným 802.1x snadno), dokud jejich provozovatelé nezjednali nápravu. A tak to má být!

Kdysi jsem si nainstaloval server a na tuhle podstatnou věc jsem zapomněl. Další den jsem se díval na logy a bylo jich podezřele mnoho, což většinou naznačuje, že něco nefunguje dobře a loguje to spoustu zoufalých zpráv. Inu, byly tam (hrubým odhadem) asi tři milióny pokusů o přihlášení přes SSH za den, ze spousty různých rozsahů adres atd. Celkem netriviální počet pokusů každou sekundu a docela systematický slovníkový útok.

Zkrátka, přihlašování heslem prostě NE.