Question : Tentative d'intrusion sur un système gravure à l'eau forte de Debian. Aide requise

Cher tous,

I AM exploitant (je pense) un système très bloqué de Debian 4, avec un grain monolithique (aucun appui de module) et avec le grsec raccordé :  2.6.24.4 - le grsec
System court également le webmin et virtualmin.
Iptables courent too.
SSH courent sur un port non standard et l'accès à lui est permis seulement d'un IP spécifique (mon bureau). le
Ossec court too.

il y a quelques jours où j'ai obtenu cette alerte d'email de l'ossec :
OSSEC HIDS Notification.
2010 5 juin 23 : 30 : 03

Received de : server_name->/var/log/syslog
Rule : 1002 mis le feu (niveau 2) - > « problème inconnu quelque part dans le système. « 
Portion des notations :

5 juin 23 : 30 : grain de 01 server_name : grsec : la ressource niée outrepassent en demandant 216629248 pour RLIMIT_STACK contre pour de la limite 8388608/[picoseconde : 24713] uid/euid : 0/0 gid/egid : 0/0, parent /bin/bash [SH : 24711] uid/euid : 0/0 gid/egid : 0/0

 --FIN de NOTIFICATION

I AM TRÈS intéressé avec la dernière ligne que (si je ne suis pas confondu) elle indique que coquille de coup avec des qualifications de racine (! ! !) a mis le feu au - ce qui-JE-SUPPOSER-À-est la commande du

last de débordement d'amortisseur… ne rapporte rien soupçonneux sur le courant ou sur le wtmp précédent. (le système fait l'archivage automatique). l'accès de racine du

SSH est placé à : les obligatoire-commandes-only
and du
PermitRootLogin ceci correspond à un rsync l'entry

I serait le plus obligé si vous pourriez m'indiquer une direction d'analyser plus loin le système et de trouver quel exactly s'est produit. Je suis disposé à installer tous les outils que vous pourriez proposer suivez attentivement le système pour de futures tentatives de fine-grain level.

Thanks à vous all class= de

Réponse : Tentative d'intrusion sur un système gravure à l'eau forte de Debian. Aide requise

Le problème dans mon optinion sont les manuscrits courant le soin de Webmin/Virtualmin.
Vous avez durci tellement probablement le système quand le cron fonctionne produit du rendement des commandes failed de coquille.
Veuillez prendre un œil plus attentif chez /var/log/autdit.log pour des tentatives d'ouverture failed.
Vous le caould essayent également d'installer « DenyHosts » est un démon de Perl que les contrôles pour un nombre ont spécifié des ouvertures failed de ssh et mettent automatiquement l'IP address d'attaquant dans /etc/hosts.deny.

Nous avons pour l'installer sur plus que 16 serveurs et nous avons réellement plus que 160.000 IP address ont automatiquement bloqués.

Si vous avez besoin davantage de d'aide que je suis ici pour vous aider.
Respect