Strane voci SECCOMP per sshd nel registro di controllo

1

L'ho postato su ServerFault ma non ho ricevuto una risposta laggiù. Non sono un professionista della sicurezza, ma sono curioso di sapere quale tipo di attacco potrebbe essere e come potrebbero essere gli aggressori a eseguirlo. Ho pensato che qualcuno qui che è più esperto in sicurezza potrebbe saperlo.

Ecco il testo del post originale:

I'm seeing strange entries for sshd in my audit logs along the lines of:

type=SECCOMP audit(1433519794.902:46): auid=20003 uid=22 gid=22 ses=21 pid=25136 comm="sshd" exe="/usr /sbin/sshd" sig=31 arch=40000003 syscall=102 compat=0 ip=0xb76c8aac code=0x0

type=SECCOMP msg=audit(1433785727.186:10262): auid=20003 uid=22 gid=22 ses=21 pid=11217 comm="sshd" exe="/usr/sbin/sshd" sig=31 arch=400 00003 syscall=132 compat=0 ip=0xb7670aac code=0x0

Anyone have any idea what's happening? My guess is that, OpenSSH forks a sandboxed process for preauth and someone is attempting to execute system calls (socketcall and getpgid) during this connection phase.

All connections appear to come from Korea.

Devo aggiungere che sto usando OpenSSH 6.7p1 e kernel versione 3.18.12 di Linux.

    
posta Robert 25.06.2015 - 23:55
fonte

1 risposta

3

Risolto su ServerFault e in upstream . Spingendo anche qui per contrassegnare come risolto.

Il significato di syscall lo puoi scoprire semplicemente eseguendo:

$ ausyscall 102
socketcall
$ ausyscall 132
getpgid

Il primo è bug upstream , ora corretto. ix86 sta utilizzando questa chiamata di sistema al socket di spegnimento (chiuso in un modo).

Il secondo sembra un problema di packaging o qualche patch downstream (quale distribuzione stai usando?), perché questo può essere tranquillamente permesso dal mio punto di vista - stavamo permettendo a getpid e simili per scopi di auditing.

Per rinfrescarti, nessun problema di sicurezza qui :) Questo probabilmente sta accadendo con ogni (fallita) connessione.

    
risposta data 18.11.2015 - 13:53
fonte

Leggi altre domande sui tag