Pergunta : Tentativa da intrusão em um sistema gravura em àgua forte de Debian. Ajuda necessário

Caro tudo,

I am funcionando (eu penso) um sistema muito seguro de Debian 4, com uma semente monolítica (nenhuma sustentação do módulo) e com o grsec remendado:  2.6.24.4 - o grsec
System igualmente está funcionando o webmin e virtualmin.
Iptables estão funcionando too.
SSH estão funcionando em um porto não padronizado e o acesso a ele é permitido somente de um IP específico (meu escritório). o
Ossec está funcionando too.

alguns dias há que eu começ este alerta do email do ossec:
OSSEC HIDS Notification.
2010 5 de junho de 23: 30: 03

Received de: server_name->/var/log/syslog
Rule: 1002 ateados fogo (nível 2) - > “problema desconhecido em algum lugar no sistema. “
Portion dos registros:

5 de junho de 23: 30: semente de 01 server_name: grsec: o recurso negado ultrapassa pedindo 216629248 para RLIMIT_STACK de encontro a para do limite 8388608/[picosegundo: 24713] uid/euid: 0/0 de gid/egid: 0/0, pai /bin/bash [sh: 24711] uid/euid: 0/0 de gid/egid: 0/0

 --FIM de NOTIFICATION

I am MUITO interessado com a última linha que (se eu não sou confundido) indica que escudo da festança com credenciais da raiz (!!!) ateou fogo ao - que-EU-SUPOR-À-está o comando do

last do excesso do amortecedor… não relata qualquer coisa suspeito na corrente ou no wtmp precedente. (o sistema faz a arquivística automática). o acesso da raiz do

SSH é ajustado a: os forçado-comandos-only
and do
PermitRootLogin isto correspondem a um rsync que o entry

I seria o mais obrigado se você poderia me apontar a um sentido mais de analisar o sistema e de encontrar que exactly aconteceu. Eu sou disposto instalar todas as ferramentas que você possa sugerir monitora pròxima o sistema para as tentativas futuras em um fine-grain level.

Thanks a você all class= do

Resposta : Tentativa da intrusão em um sistema gravura em àgua forte de Debian. Ajuda necessário

O problema em meu optinion é os certificados que funcionam o cuidado de Webmin/Virtualmin.
Você endureceu o sistema tão provavelmente quando o cron funciona gera a saída dos comandos falhs do escudo.
Tomar por favor um olhar mais atento em /var/log/autdit.log para tentativas de início de uma sessão falh.
Você o caould igualmente tenta instalar “DenyHosts” é um demónio do Perl que as verificações para um número especific de inícios de uma sessão falhs do ssh e põr automaticamente o IP address do atacante em /etc/hosts.deny.

Nós temos instalá-lo em mais que 16 usuários e nós temos realmente mais que 160.000 IP address obstruíram automaticamente.

Se você precisa uma ajuda que mais adicional eu estou aqui lhe ajudar.
Considerações