Molti tentativi sshd in uscita non riusciti. Sono stato violato?

Naviga le tue risposte
6

Negli ultimi due giorni ho visto molte righe nel mio /var/log/auth.log che assomigliano a: 

sshd[xxxxx]: error: connect_to 0.gravatar.com port 80: failed
sshd[xxxxx]: error: connect_to 1.gravatar.com port 80: failed
sshd[xxxxx]: error: connect_to 2.gravatar.com port 80: failed

Non penso che nulla sul mio server usi gravatar, e anche se così fosse, non vedo perché sshd dovrebbe essere coinvolto. Inoltre, i rapporti si sono manifestati "a caso" e sono stati effettuati circa 100 tentativi falliti per ogni indirizzo gravatar al giorno.

Ho provato a fare un po 'di diagnostica da solo, ma non sono un esperto. Ho provato a cercare gli script che utilizzano gravatar (con grep nella mia directory web) e non ho trovato nulla (che è più sospetto).

Durante gli scavi ho trovato due directory di cui sono preoccupato: 

/tmp/.X11-unix
/tmp/.ICE-unix

I ho pensato Ho disabilitato X11 sul mio server poiché non lo uso, e non ho nulla a che fare con l'IRC o qualsiasi altra cosa che possa immaginare essere in .ICE-unix. Non c'è niente in nessuna directory, ma la loro stessa esistenza è sospetta per me (probabilmente a causa della mia ignoranza).

Non riesco a trovare altre prove che io sia stato violato, e pensavo di avere una nave piuttosto stretta, ma ovviamente sono preoccupato per questo. Gestisco un server Debian e mi assicuro che ogni singolo pacchetto venga aggiornato ogni settimana. Sono nuovo di questo sito e di indagare su un hack, quindi apprezzo la tua pazienza e se c'è qualcosa che posso fare per aiutarti ad aiutarmi, faccelo sapere (ti farò sapere che ho letto tonnellate di articoli e ho cercato il mio più duro possibile prima di chiedercelo qui, perché apprezzo tutto il tuo tempo).

    
posta Beau 07.04.2014 - 21:55
fonte

1 risposta

7

La mia ipotesi è che tu (o qualcun altro sul tuo server) stia facendo il tunnelling del proxy SSH e ti connetti a stackexchange o ad un altro sito usando gravitar, e per qualche ragione quelle connessioni a gravatar sono scadute. Non penso che il mio server di casa sia violato e vedo messaggi simili nel mio auth.log, ma solo nei giorni in cui stavo usando il proxy SSH. I messaggi sono su my_home_computer quando sto usando un proxy da un altro computer che è stato configurato da ssh -fND localhost:12346 my_home_computer - a condizione che le mie voci stiano registrando indirizzi IP come: 

Mar  6 14:33:57 my_home_computer sshd[17500]: error: connect_to 173.192.82.196 port 80: failed.

La mia ipotesi è che questi messaggi corrispondano alle linee sul lato usando il proxy che dice: 

channel 6: open failed: connect failed: Connection timed out
channel 4: open failed: connect failed: No route to host
channel 2: open failed: connect failed: Connection timed out

EDIT: ulteriori test, confermato questo sospetto. Avvio del tunnel ssh con il flag dettagliato impostato ( -v ): 

ssh -vfND localhost:12346 my_home_computer

e tentando di connettersi a un indirizzo IP errato ( 10.11.12.13 ) che alla fine scade, al timeout (visibile nel browser Web con un messaggio "La connessione è scaduta"), l'output del terminale che è iniziato il tunnel ssh mostrerà: 

channel 2: open failed: connect failed: Connection timed out
debug1: channel 2: free: direct-tcpip: listening port 12346 for 10.11.12.13 port 80, connect from 127.0.0.1 port 34199, nchannels 10

Nel frattempo, guardando l'output di auth.log allo stesso tempo con sudo tail -f /var/log/auth.log verrà visualizzata la seguente voce di registro: 

Apr  7 17:38:03 my_home_computer sshd[23789]: error: connect_to 10.11.12.13 port 80: failed.

TL; DR : solo una navigazione Web innocua e ssh che avvisano che durante la ricerca di alcune richieste HTTP è scaduto il tempo o che non ha avuto percorso da ospitare in vari punti della giornata.

    
risposta data 07.04.2014 - 22:28
fonte

Leggi altre domande sui tag

Uso di skype per un attacco Come visualizzare i privilegi di estensioni in Firefox?