înregistrare Logare
Puncte:2
Jaquarh avatar Ubuntu

Văd ceva ciudat rulând comanda w și am nevoie de ajutor pentru a o înțelege

drapel cn
Jaquarh

Așa că am verificat în jurul serverului după un timp în care nu m-am uitat pe el și am rulat w comanda:

 01:10:46 până la 11 zile, 2:53, 2 utilizatori, medie de încărcare: 0,00, 0,05, 0,05
UTILIZATOR TTY DIN LOGIN@ IDLE JCPU PCPU CE
root tty1 - Tue21 2 zile 0,74 s 0,60 s - bash
puncte rădăcină/0 86.x.xxx.xx 22:18 0,00 s 0,28 s 0,00 s w

Ar trebui să fiu singurul de pe server și habar n-am despre ce asta tty1 era sau face asa am fugit ps -aef --forest | grep bash și l-am găsit pe acesta în special

root 617 1 0 Aug01 tty1 00:00:00 /bin/login -p --

Când am alergat un ucide -9 617 si verificat w plecase:

 01:11:18 până la 11 zile, 2:54, 1 utilizator, medie de încărcare: 0,12, 0,07, 0,06
UTILIZATOR TTY DIN LOGIN@ IDLE JCPU PCPU CE
rădăcină puncte/0 86.x.xxx.xx 22:18 5.00s 0.29s 0.00s w

Ce este asta? Am căutat pe Google ce /bin/login -p -- a fost dar am primit doar informații despre --. Cum a fost conectat un root?

60
2 + 1
Jaquarh avatar
drapel cn
Jaquarh
Ubuntu 20.04 cu Docker și Docker Compose instalate, asta este tot ce rulează pe el @guiverc
0
Răspunde
Puncte:1
terdon avatar Ubuntu
drapel cn
terdon

O posibilitate îngrijorătoare este ca cineva să se conecteze ca root. Pot reproduce ceva foarte asemănător pe aparatul meu. În primul rând, am activat accesul root ssh adăugând acest lucru la /etc/ssh/sshd_config:

PermitRootLogin da

Și apoi a repornit sshd serviciu:

sudo service sshd restart

Și m-am autentificat ca root (rețineți că am activat contul root pe această mașină, ați făcut același lucru?):

ssh root@localhost

Acum, când alerg w, Înțeleg:

$ w
 17:06:36 până la 3 minute, 2 utilizatori, medie de încărcare: 1,98, 0,97, 0,38
UTILIZATOR TTY LOGIN@ IDLE JCPU PCPU CE
terdon :0 17:04 ?xdm? 29.31s 0.01s /usr/lib/gdm-x-s
rădăcină puncte/3 17:06 24.00s 0.00s 0.00s -bash

Cel puțin, nu puteți exclude posibilitatea ca un atacator să obțină acces la sistemul dvs. Singura soluție, în acest caz, este restaurarea dintr-o copie de rezervă sau reinstalarea de la zero. Dacă cineva a primit acces root, pur și simplu nu există nicio modalitate de a fi sigur că nu a făcut ceva rău altfel.

0 + 7
Jaquarh avatar
drapel cn
Jaquarh
Ar avea efect dacă am doar chei RSA pentru autentificare și nu pentru parolă? De asemenea, când mă conectez prin ssh, văd `pts/` prea. Dar am văzut în schimb `-`
0
Răspunde
terdon avatar
drapel cn
terdon
@Jaquarh Nu prea știu. Nu sunt deloc un expert în securitate. Tot ce pot să vă spun este că făcând ceea ce am descris mai sus o conectare ca root, am văzut ceva foarte asemănător.
0
Răspunde
Jaquarh avatar
drapel cn
Jaquarh
Deci, nu l-am văzut de când l-am ucis și recent mă întreb dacă ar fi putut fi „KVM-ul meu” care nu i-a întrerupt niciodată conexiunea - aș putea încerca să reproduc folosind KVM-ul meu
0
Răspunde
terdon avatar
drapel cn
terdon
@Jaquarh da, vă rog să nu considerați răspunsul meu ca pe un fel de dovadă autorizată că mașina dvs. a fost compromisă. Tot ce pot spune este că _ar putea_ fi _o singură_ explicație. Nu am cunoștințele să spun cu siguranță și știi ce făcea mașina.
0
Răspunde
Jaquarh avatar
drapel cn
Jaquarh
ok da! De fapt, aceasta este cauza, m-am autentificat prin panoul meu OVH și am folosit KVM -- după conectare, văd `root tty1 - 15:47 42.00s 0.20s 0.07s -bash` Acum închid browser-ul și rămâne activ - Presupun că KVM-ul nu își închide niciodată conexiunea de conectare din anumite motive în serverele găzduite de OVH. Postarea ta m-a ajutat să văd asta, mulțumesc!
0
Răspunde
terdon avatar
drapel cn
terdon
ah, vești grozave! Ați putea, vă rog, să postați asta ca răspuns și să-l acceptați, astfel încât următoarea persoană cu o problemă similară să-l poată vedea?
0
Răspunde
Jaquarh avatar
drapel cn
Jaquarh
Sigur, dar îmi voi păstra votul favorabil pentru al tău pentru că explicația ta m-a ajutat să văd! Multumesc Terdon!
0
Răspunde
Puncte:0
Jaquarh avatar Ubuntu
drapel cn
Jaquarh

După ce m-am gândit la răspunsul @Terdons și pentru viitorii telespectatori, am găsit TTY este ecranul la care este atașat când este în PTS/<număr> și în cazul meu, foloseam browser-ul furnizorului meu KVM, care este tty1 (fără ecran, rămâne în viață), iar problema a fost uciderea browserului nu a ucis conexiunea KVM intern pe server.

Dacă a alergat ceas w și m-am conectat din nou la serverul rădăcină prin KVM-ul meu (accesul intern nu necesită cheia RSA) Am văzut:

 15:51:54 până la 12 zile, 17:34, 2 utilizatori, medie de încărcare: 0,04, 0,05, 0,08
UTILIZATOR TTY DIN LOGIN@ IDLE JCPU PCPU CE
root tty1 - 15:47 4:33 0.20s 0.07s -bash
rădăcină puncte/0 xxxxxxxxxx 15:38 4:49 0.26s 0.00s ceas w

Bingo. Daca nu DIN se indică adresa (-), este o conectare fizică de la server.

Pentru a o ucide am făcut:

$ ps -aef --forest | grep tty1

root 2355734 1 0 Aug13 tty1 00:00:00 /bin/login -p --
root 2687566 2355734 0 15:47 tty1 00:00:00 \_ -bash
root 2688963 2686083 0 15:54 pts/0 00:00:00 \_ grep --color=auto tty1

$ kill -9 2355734
$ w

 15:55:00 până la 12 zile, 17:37, 1 utilizator, medie de încărcare: 0,03, 0,03, 0,06
UTILIZATOR TTY DIN LOGIN@ IDLE JCPU PCPU CE
puncte rădăcină/0 xxxxxxxxx 15:38 4,00 s 0,08 s 0,01 s w
0 + 0
drapel romania
SEF 777
întrebarea această in alte limbi:

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.