Pytanie : Intruzja Próba na Debian Ryć system. Pomoc potrzebować

Kochany wszystko,

I am bardzo bezpiecznie (I myśleć) Debian 4 system, z monolitowy nasiono (żadny moduł poparcie) i z grsec łatać:  2.6.24.4 - grsec
System także biegać webmin i virtualmin.
Iptables biegać too.
SSH biegać na także port i dostęp ono pozwolić tylko od jeden odmianowy IP (mój biuro).
Ossec biegać too.

A ossec dzień temu I dostać ten email ostrzeżenie od ossec:
OSSEC HIDS Notification.
2010 Jun 05 23:30: 03

Received Od: server_name->/var/log/syslog
Rule: 1002 podpalać (poziom 2) - > "Niewiadomy problem gdzieś w the system. "
Portion the bela:

Jun 5 23:30: 01 server_name nasiono: grsec: zaprzeczać zasoby overstep 216629248 dla RLIMIT_STACK przeciw ograniczenie 8388608 dla/[ps: 24713] uid/euid: 0/0 gid/egid: 0/0, mateczny /bin/bash [mateczny: 24711] uid/euid: 0/0 gid/egid: 0/0

 --KOŃCÓWKA NOTIFICATION

I am BARDZO dotyczyć z the ostatni linia który (jeżeli I mylić się) ono wskazywać że jubel skorupa z korzeniowy referencje (!!!) podpalać the - co-I-ZAKŁADAĆ--być tłumiący przelew…

last rozkaz donosić wtmp podejrzany lub na the prąd lub na the poprzedzający wtmp. (system robić automatyczny).

SSH korzeń dostęp ustawiać:
PermitRootLogin zmuszać-rozkaz-only
and korespondować korespondować rsync pomocniczy entry

I być obowiązany jeżeli ty móc kierunek dalej the system i jaki exactly zdarzać się. I być all jakaś narzędzie ty można blisko monitorować the system dla przyszłościowy próba przy fine-grain level.

Thanks ty all

Odpowiedź : Intruzja Próba na Debian Ryć system. Pomoc potrzebować

The problem w mój optinion być the pismo opieka Webmin/Virtualmin.
Ty wzmacniać the system w ten sposób prawdopodobnie gdy the cron bieg wytwarzać wydajność the nieudany skorupa rozkaz.
Zadawalać brać zamknięty spojrzenie przy /var/log/autdit.log dla nieudany nazwa użytkownika próba.
Ty caould także próba "DenyHosts" być perl daemon który czek dla liczba precyzować nieudany ssh nazwa użytkownika i stawiać automatycznie the napastnik Adres IP w /etc/hosts.deny.

My mieć ono na adres który 16 serwer i my właściwie mieć my który 160.000 ip adres automatycznie blokować.

Jeżeli ty potrzebować dalszy pomoc i być tutaj ty.
Uwzględnienie