Vraag : De Poging van het binnendringen op een Debian etst systeem. Nodig hulp

Beste allen,

I am zeer veilig (ik denk) in werking stellen Debian 4 systeem, met een monolithische pit (geen modulesteun) en met herstelde grsec:  2.6.24.4 - grsec
System ook webmin in werking en virtualmin.
Iptables stellen too.
SSH in werking loopt op een niet genormaliseerde haven en de toegang tot het wordt verleend slechts van één specifieke IP (mijn bureau).
Ossec stelt too.

Een paar dagen in werking geleden ik kreeg deze e-mail van ossec waakzaam:
OSSEC HIDS Notification.
2010 Jun 05 23:30: 03

Received van: server_name->/var/log/syslog
Rule: in brand gestoken 1002 (niveau 2) - > „Onbekend probleem ergens in het systeem. „
Portion van het logboek: 23:30

Jun 5: 01 server_namepit: grsec: te verzoeken het ontkende middel overschrijdt door om 216629248 voor RLIMIT_STACK tegen grens 8388608 voor/[ps: 24713] uid/euid: 0/0 gid/egid: 0/0, ouder sh /bin/bash [: 24711] uid/euid: 0/0 gid/egid: 0/0

 --EIND VAN NOTIFICATION

I am ZEER betreffende de laatste lijn dat (als ik niet verkeerd ben) het dat dreunshell met wortelgeloofsbrieven erop wijst (!!!) stak in brand - wat-I-veronderstellen-aan-ben het bevel

last van de bufferoverstroming… meldt verdacht om het even wat niet of over de stroom of over vorige wtmp. (het systeem doet het automatische archiveren).

SSH de worteltoegang wordt geplaatst aan:
PermitRootLogin de dwingen-bevelen/>and dit beantwoordt aan een rsync reserveentry

I het meest verplicht zou zijn als u me aan een richting kon richten van verder het analyseren van het systeem en het vinden van welke exactly gebeurde. Ik ben bereid om om het even welke hulpmiddelen te installeren u zou kunnen voorstellen om het systeem voor toekomstige pogingen tot een fine-grain level.

Thanks aan u dicht te controleren all

Antwoord : De Poging van het binnendringen op een Debian etst systeem. Nodig hulp

Het probleem in mijn optinion is de manuscripten die zorg van Webmin/Virtualmin in werking stellen.
U hebt het systeem zo waarschijnlijk vaste vorm gegeven wanneer de cronlooppas output van de ontbroken shell bevelen produceert.
Gelieve te nemen een dichtere blik in /var/log/autdit.log voor ontbroken login pogingen.
U caould probeert ook installerend die „DenyHosts“ bent een perl daemon dat controles voor een aantal van ontbroken wordt gespecificeerd ssh logins en zet automatisch het aanvallerIp adres in /etc/hosts.deny.

Wij hebben het op meer installeren dat 16 servers en wij eigenlijk meer hebben die 160.000 ip adressen automatisch blokkeerden.

Als u verdere hulp nodig hebt moet ik hier u bijstaan.
Achting