Questione : Tentativo di intrusione su un sistema incissione all'acquaforte di Debian. Aiuto stato necessario

Caro tutti,

I operanti (penso) un sistema molto sicuro di Debian 4, con un nocciolo monolitico (nessun supporto del modulo) e con grsec rattoppato:  2.6.24.4 - il grsec
System inoltre sta facendo funzionare il webmin e virtualmin.
Iptables stanno facendo funzionare too.
SSH stanno funzionando su un orificio non standard e l'accesso ad esso è permesso soltanto da un IP specifico (il mio ufficio). il
Ossec sta facendo funzionare too.

alcuni giorni fa che ho ottenuto questo allarme del email da ossec:
OSSEC HIDS Notification.
2010 5 giugno 23: 30: 03

Received da: server_name->/var/log/syslog
Rule: 1002 infornati (Livello 2) - > “problema sconosciuto in qualche luogo nel sistema. “
Portion dei ceppi:

5 giugno 23: 30: un nocciolo del 01 server_name: grsec: la risorsa negata supera chiedendo 216629248 per RLIMIT_STACK contro per/[di limite 8388608 ps: 24713] uid/euid: 0/0 di gid/egid: 0/0, genitore /bin/bash [SH: 24711] uid/euid: 0/0 di gid/egid: 0/0

 --CONCLUSIONE di NOTIFICATION

I MOLTO interessato con l'ultima linea che (se non mi sbaglio) indica che coperture di colpo con le credenziali della radice (!!!) ha infornato - che cosa-IO-PRESUPPORRE--è l'ordine del

last di trabocco dell'amplificatore… non segnala nulla sospettoso sulla corrente o sul wtmp precedente. (sistema fa l'archiviatura automatica). l'accesso della radice del

SSH è fissato a: gli forzato-ordini-only
and del
PermitRootLogin questo corrisponde ad un rsync che il entry

I sarebbe obbligato se poteste indicarli un senso più ulteriormente di analizzare il sistema e di individuazione che exactly è accaduto. Sono disposto ad installare tutti gli attrezzi che potreste suggerire molto attentamente controllate il sistema per i tentativi futuri di fine-grain level.

Thanks a voi all class= del

Risposta : Tentativo di intrusione su un sistema incissione all'acquaforte di Debian. Aiuto stato necessario

Il problema nel mio optinion è gli scritti che fanno funzionare la cura di Webmin/Virtualmin.
Avete indurito il sistema così probabilmente quando il cron funziona genera l'uscita degli ordini guasi delle coperture.
Prendere prego uno sguardo più attento a /var/log/autdit.log per i tentativi di inizio attività guast.
Il caould inoltre prova ad installare “DenyHosts„ siete un demone del Perl che i controlli per un numero hanno specificato degli inizio attività guasi dello ssh e mette automaticamente il IP address dell'attaccante in /etc/hosts.deny.

Abbiamo installarli su più che 16 assistenti e noi realmente abbiamo più che 160.000 IP address hanno ostruito automaticamente.

Se avete bisogno di ulteriore aiuto che sono qui per aiutarlo.
Riguardi