Frage : Eindringen-Versuch auf einem Debian Ätzungsystem. Hilfe benötigt

Lieb alle,

I morgens ein sehr sicheres (ich denke), Debian 4 System, mit einem monolithischen Kern (keine Modulunterstützung) und mit dem grsec betreibend ausgebessert: 2.6.24.4 - grsec
System lässt auch webmin laufen und virtualmin.
Iptables lassen too.
SSH läuft auf einen nichtstandardisierten Hafen laufen und Zugang zu ihm wird nur von einem spezifischen IP erlaubt (mein Büro). vor
Ossec lässt too.

einigen laufen Tagen, das, ich diesen eMail-Alarm vom ossec erhielt:
OSSEC HIDS Notification.
2010 5. Juni 23: 30: 03

Received von: server_name->/var/log/syslog
Rule: 1002 abgefeuert (Niveau 2) - > „unbekanntes Problem irgendwo im System. „
Portion der Maschinenbordbücher:

5. Juni 23: 30: 01 server_name Kern: grsec: verweigertes Hilfsmittel überschreiten, indem es 216629248 für RLIMIT_STACK gegen für der Begrenzung 8388608/fordert [ps: 24713] uid/euid: 0/0 gid/egid: 0/0, Elternteil /bin/bash [SH: 24711] uid/euid: 0/0 gid/egid: 0/0

--ENDE VON NOTIFICATION

I morgens SEHR befasst mit der letzten Linie, der (wenn ich nicht verwechselt werde) sie anzeigt, dass Schlagoberteil mit Wurzelbescheinigungen (!!!) feuerte ab - was-ICH-ANNEHMEN-ZU-ist Puffersammel…

last Befehl berichtet nicht misstrauisches alles entweder auf dem Strom oder über auf dem vorhergehenden wtmp. (System tut die automatische Archivierung).

SSH Wurzelzugang wird zu eingestellt:
PermitRootLogin Zwangs-befehle-only
and dieses entspricht einem rsync, das Unterstützungsentry

I verbunden sein würde, wenn Sie zeigen konnten mich auf eine Richtung das System weiter von analysieren und von Finden, welches exactly geschah. Ich bin bereit, alle mögliche Werkzeuge anzubringen, die Sie vorschlagen konnten überwachen nah das System für zukünftige Versuche an einem fine-grain level.

Thanks zu Ihnen all

Antwort : Eindringen-Versuch auf einem Debian Ätzungsystem. Hilfe benötigt

Das Problem in meinem optinion sind die Indexe, die Sorgfalt von Webmin/Virtualmin laufen lassen.
Sie haben das System so vermutlich verhärtet, wenn das cron erzeugt Ausgang der ausfallen Oberteilbefehle läuft.
Einen näheren Blick bei /var/log/autdit.log für Versuche des ausfallen LOGON bitte nehmen.
Sie versuchen caould auch, „DenyHosts“ anzubringen ein Perl-Dämon sind, den Überprüfungen auf eine Zahl von ausfallen ssh LOGON spezifizierten und automatisch das Angreifer IP address in /etc/hosts.deny einsetzen.

Wir haben, es auf mehr anzubringen, denen 16 Bediener und wir wirklich mehr haben, die 160.000 IP address automatisch blockierten.

Wenn Sie weitere Hilfe benötigen, die ich hier bin, um Sie zu unterstützen.
Respekt

Weitere Lösungen

Wort-Presse, die Frage bewirtet

asp.net: Mein Problem ist, benutze ich einen ajax Ergänzung Kalender, um BeginDate u. EndDate Werte einzutragen

Silverlight 4 UI Ereignisse

wie kann ich irgendeine Bildentschließung online ändern und sie zum lokalen PC dann innen sparen??

ZFS Sicherungshilfe Ubuntu 10.0.4 LTS

Form-Frage für Kristallreports

Betreffend INOTES in Lotos 8.5

Mühen, die ZWISCHEN Logik erhalten zu arbeiten

Spannungs-Sensor ermittelte einen Ausfall auf Bediener DELL-PowerEdge 2650

broadcom NIC teaming