System breach o OpenSSH glitch?

7

Il sistema esegue un daemon SSH e un server Web nginx, entrambe le porte sono aperte a Internet. Facciamo parte di un'università, quindi le nostre porte vengono inoltrate dal router principale alla intranet.

Verso le 19:00, il daemon SSH smette di rispondere a tutte le richieste di accesso. Tutte le password e le chiavi SSH non sembrano valide. Abbiamo risposto portando la macchina offline due ore dopo l'incidente, nel caso in cui fosse più di un "problema tecnico".

Ho controllato anche i log dei daemon, e non c'è motivo di sospettare che il processo sia stato interrotto, poiché stava ancora rispondendo alle richieste di password, semplicemente non permettendo ad alcun utente di accedere con le credenziali corrette.

Ho escluso l'errore dell'utente esaminando i file di cronologia della shell. L'unica altra opzione è che siamo stati attaccati. Quindi la mia domanda è: è un problema con OpenSSH, o il mio sistema è stato violato?

Mi rendo conto che questa è una domanda molto ampia con pochi dettagli, quindi fornirò ulteriori informazioni su richiesta.

Modifica In esecuzione su Fedora 20 Heisenbug con OpenSSH v.6.4p1 e Nginx v1.6.0 Non sono sicuro di quale software di auditing sia disponibile in Fedora. Qualcuno potrebbe suggerire

    
posta rivanov 23.09.2015 - 18:43
fonte

2 risposte

1

Questo potrebbe essere stato il% di kernel% in azione.

Quanta RAM ha la tua macchina? Ha una memoria di scambio?

Ciò che potrebbe accadere è quando si esaurisce la memoria, oom-killer sacrificherà un demone e quel demone potrebbe essere quello sshd.

Puoi confermare ciò cercando nel registro dei messaggi oom-killer o tramite /var/log/messages .

    
risposta data 16.01.2016 - 05:01
fonte
0

Hmmm ... la tua domanda non è chiara.

Hai scritto:

At about 19:00, the SSH daemon stops responding to all requests for login.

E poi:

All passwords as well as SSH keys seem invalid.

Did openssh ha risposto o no? Causa, se openssh non ha risposto, come puoi dire che password e chiavi sembrano non valide. Inoltre, cosa intendi con "non valido"? Hai ricevuto un messaggio di "Permesso negato"? o OpenSSH ha appena rinunciato?

Può trattarsi di molte cose, dal bug di openssh (sarebbe sorprendente) al ritardo di rete o anche a un errore durante il tentativo di allocare memoria o tty. Si prega di essere più precisi.

    
risposta data 15.10.2016 - 12:00
fonte

Leggi altre domande sui tag