Cuestión : Tentativa de la intrusión en un sistema del grabado de pistas de Debian. Ayuda necesaria

Estimado todos,

I funcionando con (pienso) un sistema muy seguro de Debian 4, con un núcleo monolítico (ninguna ayuda del módulo) y con el grsec remendado:  2.6.24.4 - el grsec
System también está funcionando webmin y virtualmin.
Iptables están funcionando too.
SSH están funcionando en un puerto no estándar y el acceso a él se permite solamente a partir de un IP específico (mi oficina). el
Ossec está funcionando too.

hace algunos días que conseguí esta alarma del email de ossec:
OSSEC HIDS Notification.
2010 5 de junio de 23: 30: 03

Received de: server_name->/var/log/syslog
Rule: 1002 encendidos (nivel 2) - > “problema desconocido en alguna parte en el sistema. “
Portion de los registros:

5 de junio de 23: 30: núcleo de 01 server_name: grsec: el recurso negado sobrepasa pidiendo 216629248 para RLIMIT_STACK contra para/[del límite 8388608 picosegundo: 24713] uid/euid: 0/0 gid/egid: 0/0, padre /bin/bash [sh: 24711] uid/euid: 0/0 gid/egid: 0/0

 --FINAL de NOTIFICATION

I MUY en cuestión con la línea pasada que (si me no confunden) indica que cáscara del golpe con credenciales de la raíz (!!!) encendió - qué-YO-ASUMIR-A-es el comando del

last del desbordamiento del almacenador intermediario… no divulga cualquier cosa sospechoso en la corriente o en el wtmp anterior. (el sistema hace archivar automático). el acceso de la raíz del

SSH se fija a: los forzado-comandos-only
and del
PermitRootLogin esto corresponden a un rsync que el entry

I sería obligado si usted podría señalarme a una dirección más lejos de analizar el sistema y de encontrar sucedió qué exactly. Estoy dispuesto a instalar cualquier herramienta que usted puede ser que sugiera supervisa de cerca el sistema para las tentativas futuras en un fine-grain level.

Thanks a usted all class= del

Respuesta : Tentativa de la intrusión en un sistema del grabado de pistas de Debian. Ayuda necesaria

El problema en mi optinion es las escrituras que funcionan el cuidado de Webmin/Virtualmin.
Usted ha endurecido el sistema tan probablemente cuando el cron funciona genera la salida de los comandos falls de la cáscara.
Tomar por favor una mirada más atenta en /var/log/autdit.log para las tentativas de conexión fall.
Usted el caould también intenta instalar “DenyHosts” es un demonio del Perl a que las comprobaciones para un número especificaron de conexiones falls del ssh y ponen automáticamente el IP address del atacante en /etc/hosts.deny.

Tenemos instalarlo en más que 16 servidores y nosotros realmente tenemos más que 160.000 IP address bloquearon automáticamente.

Si usted necesita ayuda adicional que estoy aquí para asistirle.
Respetos