La macchina è stata compromessa? (server iRedMail, registri strani)

Naviga le tue risposte
1

Gestisco un server iRedMail su Ubuntu Xenial. Varie utility mi hanno inviato dei messaggi e-mail e alcune voci mi hanno reso sospetto che la macchina sia stata compromessa.

11 volte:  [2016-11-19 22:20:19 ± 3 secondi] autenticazione password fallita per utente "postgres"

Non ho provato ad accedere come postgres. Non ci sono voci come questa dai giorni precedenti. Non penso che PostgreSQL debba anche accettare connessioni da Internet.

Da 5 giorni fa: 

--ALERT-- [perm023a] /bin/su is setuid to 'root'. 
--ALERT-- [perm023a] /usr/bin/at is setuid to 'daemon'. 
--ALERT-- [perm024a] /usr/bin/at is setgid to 'daemon'. 
--WARN-- [perm001w] The owner of /usr/bin/at should be root (owned by daemon). 
--WARN-- [perm002w] The group owner of /usr/bin/at should be root. 
--ALERT-- [perm023a] /usr/bin/passwd is setuid to 'root'. 
--ALERT-- [perm024a] /usr/bin/wall is setgid to 'tty'.

Non ho idea di cosa si tratti.

Oggi ho capito:

NOVITÀ: --WARN-- [lin002i] Il processo 'python' è in ascolto sul socket 47178 (UDP) su ogni interfaccia.

Riesco a vedere 2 processi python, uno in esecuzione su iredapd (relativo a iRedMail), uno sotto root. Secondo la pagina "porte aperte" sul sito web di iRedMail, non dovrebbe esserci nulla di simile. Inoltre, in realtà non vedo la porta aperta con nmap.

Da 6 giorni fa (l'ho notato solo ora):

Esecuzione di chkrootkit (/ usr / sbin / chkrootkit) per eseguire ulteriori verifiche ... --WARN-- [rootkit004w] Chkrootkit ha rilevato una possibile installazione di rootkit Possibile Linux / Ebury - Operazione Windigo installetd

Dal googling un po 'sembra un falso positivo, ma non ne sono sicuro.

Come dovrei esaminare questo?

    
posta Atte Juvonen 20.11.2016 - 22:24
fonte

1 risposta

2

In Linux (o altri Unix), un programma setuid è un programma che dovrebbe essere eseguito con i diritti del proprietario del programma, non colui che lo ha chiamato. Ad esempio, se si digita ping google.com , è probabile che ping venga eseguito come root per consentire la ricezione di pacchetti ICMP. Questo non è un buco di sicurezza, in quanto il ping non consente l'escapes della shell. Tutti i programmi elencati hanno un motivo per essere setuid e non sono nulla di cui preoccuparsi.

  • su deve essere eseguito come root per cambiare il suo id utente.
  • at deve eseguire il comando come utente a cui è stato chiesto di eseguire come.
  • passwd ha bisogno di leggere / etc / shadow, e quindi deve essere root.
  • wall deve scrivere sui terminali di altre persone, e quindi deve essere eseguito come quel gruppo.

L'avvertimento di chkrootkit è più preoccupante, così come l'incidente della porta di rete Python. Prova a eseguire la scansione delle porte localmente (nmap localhost tramite SSH) e verifica se la porta è aperta, poiché anche se è collegata a tutte le interfacce, la porta potrebbe ancora essere protetta dal firewall dall'esterno. Prova a usare strace per scoprire quali file sta aprendo il processo Python, o meglio ancora, usa ps per scoprire gli argomenti della riga di comando ricevuti da Python e trova lo script per vedere cosa fa.

Non sono un esperto di PostgreSQL, ma presumo che non permetta il login da Internet significa rispondere "non autorizzato" a tutti, quindi potrebbe ancora apparire nei log. Alcuni script kiddies eseguono sempre scansioni con password predefinite per vedere in quale server possono entrare. Il fatto che ci sia un accesso non riuscito è una buona cosa.

    
risposta data 21.11.2016 - 14:03
fonte

Leggi altre domande sui tag

Qual è l'impatto del difetto OAuth 2 sul mio account social e sui miei dispositivi connessi? Violazione della riservatezza e dell'integrità nella sicurezza del database