Fråga : Inhoppförsök på en Debian etsar systemet. Hjälp behövde

Kärt alla, förmiddagspring för

I ett mycket säkert (I-funderare) Debian 4 system, med en monolitisk kernel (ingen enhetsservice) och med lappad grsec: 2.6.24.4 - grsec
System är också den rinnande webminen, och virtualmin.
Iptables är spring too.
SSH är rinnande på en icke-standard port och tar fram till den är tillåtna endast från en specifik IP (mitt kontor).
Ossec är spring too.

några dagar, sedan som jag fick denna e-post vaken från ossec: 23:30 för
OSSEC HIDS Notification.
2010 Jun 05: 03

Received från: server_name->/var/log/syslog
Rule: avfyrade 1002 (jämna 2) - > ”okänt problem någonstans i systemet. ”
Portion av,23:30 för

Jun 5: kernel för 01 server_name: grsec: det förnekade resursövertrampet, genom att be 216629248 för RLIMIT_STACK mot, begränsar 8388608 för/[ps: 24713] uid/euid: 0/0 gid/egid: 0/0 förälder sh /bin/bash [: 24711] uid/euid: 0/0 gid/egid: 0/0

--AVSLUTA AV förmiddagen för NOTIFICATION

I angå MYCKET med jumbon, fodrar det (om den inte-missförstod I-förmiddagen) som den indikerar att våldsamt slag beskjuter med rotar vitsord (!!!) avfyrade - vad-I-ANTA-TILL-var fungera som buffert överflöd…

last befaller anmäler inte något som är misstänksam endera på strömmen eller på den föregående wtmpen. (systemet gör automatiskt arkivera).

SSH rotar tar fram är fastställd:
PermitRootLogin tvinga-befaller-only
and som denna motsvarar till en rsync, skulle reserv- entry

I är mest skyldig, om du kunde peka mig till en riktning av vidare analysering av systemet och att finna vilken exactly händde. Villig förmiddag I att installera några bearbetar som dig, styrkan föreslår nära för att övervaka systemet för framtida försök på en fine-grain level.

Thanks till dig all " klar "

Svar : Inhoppförsök på en Debian etsar systemet. Hjälp behövde

Problemet i min optinion är skrivar rinnande omsorg av Webmin/Virtualmin.
Du har hårdnat systemet så antagligen, när cronen kör frambringar tillverkat av missad beskjuter befaller.
Behaga tar en mer nära look på /var/log/autdit.log för missade inloggningsförsök.
Du försök för caould som installerar ”DenyHosts”, är också en perl-demon som kontroller för en numrera specificerade av missade sshinloggningar och sätter automatiskt angripareIPet address i /etc/hosts.deny.

Vi har att installera det på mer som 16 serveror och vi har faktiskt mer, som 160.000 IP address blockerade automatiskt.

Om du behöver mer ytterligare förmiddag för hjälp i här att hjälpa dig.
Hälsningar

Andra lösningar

Hur många skrivar av sidor r där i SQL-server?

Missa över mellan GLÅMIGA anslutningar för aktiv/för aktiv på en Cisco Router

ASP.Net tappar skuggar verkställer

Vad är ämna av ”den MAKEFILE” makroen i en makefile?

Ett rengöringsdukundantag uppstod därför att en HTTP 401 - det obehöriga svaret mottogs från okända

Funktionen måste använda en Updateable Query

PHP passerar parametrar till den on-line aktiveringssidan

Ethernetövergångskabel förbinder

döda ett processaa vid styrka, hur kan jag