ฉันต้องการความช่วยเหลือในการตัดสินใจว่าเซิร์ฟเวอร์ของฉันถูกแฮ็กหรือไม่

เซิร์ฟเวอร์ได้sshdเปิดขึ้น วันก่อน ฉันพยายามlsof -i TCPเห็นใครบางคนกำลังเชื่อมต่อกับเซิร์ฟเวอร์ก่อนที่จะรีสตาร์ท จากนั้นฉันสังเกตเห็นผลลัพธ์ต่อไปนี้:

sshd     19400    root    3u  IPv6 224125      0t0  TCP [2600:3c01::f03c:91ff:fe57:c70b]:ssh->123.456.789.123:59030 (ESTABLISHED)
sshd     19409    me    3u  IPv6 224125      0t0  TCP [2600:3c01::f03c:91ff:fe57:c70b]:ssh->123.456.789.123:59030 (ESTABLISHED)
sshd     10623    root    3u  IPv4 123099      0t0  TCP www.playandlearn.xyz:ssh->221.131.165.86:49085 (ESTABLISHED)
sshd     10624    sshd    3u  IPv4 123099      0t0  TCP www.playandlearn.xyz:ssh->221.131.165.86:49085 (ESTABLISHED)

สองบรรทัดแรกมีไว้สำหรับการเชื่อมต่อ ssh ของฉัน (ฉันเปลี่ยนที่อยู่ IP เป็นที่อยู่ปลอม) ชื่อผู้ใช้ที่แสดงในบรรทัดสุดท้ายคือsshdไม่ใช่สิ่งที่ฉันคาดไว้ จากนั้นฉันค้นหาที่อยู่ IP 221.131.165.86และพบว่าบางไซต์ระบุว่าเป็นที่อยู่ที่เป็นอันตราย

พยายามคิดว่าที่อยู่นี้บันทึกไว้ในเซิร์ฟเวอร์อย่างไร ฉัน greped จาก/var/log/auth.logแต่พบเฉพาะ (จำนวนมาก) บรรทัดเช่น:

Mar 23 18:59:42 www sshd[16055]: Received disconnect from 221.131.165.86 port 19152:11:  [preauth]
Mar 23 18:59:42 www sshd[16055]: Disconnected from 221.131.165.86 port 19152 [preauth]

ไม่มีรายการสำหรับการเข้าสู่ระบบที่ประสบความสำเร็จจากที่อยู่นี้

หลังจากนั้นสองสามชั่วโมง การเชื่อมต่อถูกตัดการเชื่อมต่อ ตั้งแต่นั้นมา ฉันสุ่มตรวจสอบสองสามครั้งและไม่เห็นการเชื่อมต่อใดๆ จากที่อยู่ที่น่าสงสัย

แต่วันนี้ฉันสังเกตเห็นอาการเดียวกันสำหรับที่อยู่ IP อื่น: แสดงเป็นผู้ใช้ "sshd" ในlsofพยายามเชื่อมต่อไม่สำเร็จจำนวนมาก แต่ไม่มีรายการเข้าสู่ระบบที่ประสบความสำเร็จใน/var/log/auth.log.

ดังนั้นคำถามของฉันคือ:

  1. รายการเหล่านี้เป็นlsof -i TCPหลักฐานว่าพวกเขาเชื่อมต่อสำเร็จหรือแค่พยายามเชื่อมต่อ โปรดทราบว่าในกรณีแรก การเชื่อมต่อดูเหมือนจะใช้เวลาสองสามชั่วโมง
  2. auth.logหากพวกเขาถูกแฮ็ก ทำไมฉันจึงไม่พบการเข้าสู่ระบบที่เกี่ยวข้อง
  3. หลังจากจดบันทึกทั้งหมดนี้ ฉันตระหนักดีว่าการเชื่อมต่อเหล่านั้นอาจเป็นการเชื่อมต่อกับเว็บเซิร์ฟเวอร์ของฉัน หน้าใดหน้าหนึ่งใช้เว็บซ็อกเก็ต ซึ่งอาจอธิบายเวลาในการเชื่อมต่อที่ยาวนานได้

ขอบคุณสำหรับความช่วยเหลือของคุณ. โปรดแจ้งให้เราทราบหากต้องการข้อมูลเพิ่มเติม

answer

ฉันไม่คิดอย่างนั้น ดูเหมือนว่าคุณเพิ่งถูกสแกน ผู้ใช้ราย นั้นsshdปรากฏขึ้นที่นั่นเนื่องจากsshddaemon - IIUC - มีการแยกสิทธิ์และในระหว่างการพิสูจน์ตัวตนเบื้องต้นของผู้ใช้ จะสร้างกระบวนการใหม่ภายใต้sshdผู้ใช้

คุณสามารถลองด้วยตัวเอง:

watch -n 0.5 "lsof -ni TCP | grep :ssh"

ดูผลลัพธ์แรก:

Every 0.5s: lsof -ni TCP | grep :ssh                                                                                                                                                            localhost.localdomain: Wed Mar 24 22:07:58 2021

sshd    10010    root    3u  IPv4 1532608      0t0  TCP *:ssh (LISTEN)
sshd    10010    root    4u  IPv6 1532610      0t0  TCP *:ssh (LISTEN)

และพยายามเข้าสู่ระบบเป็นผู้ใช้ที่ไม่มีอยู่ (ฉันคิดว่าคุณอนุญาตให้ตรวจสอบรหัสผ่านที่นี่ดังนั้นจึงรอรหัสผ่านผู้ใช้)

ssh [email protected]
Password:

และคุณควรเห็นบางอย่างเช่น...

Every 0.5s: lsof -ni TCP | grep :ssh                                                                                                                                                            localhost.localdomain: Wed Mar 24 22:02:57 2021

sshd    10010       root    3u  IPv4 1532608      0t0  TCP *:ssh (LISTEN)
sshd    10010       root    4u  IPv6 1532610      0t0  TCP *:ssh (LISTEN)
ssh     11218       jiri    3u  IPv4 1543472      0t0  TCP 127.0.0.1:38662->127.0.0.1:ssh (ESTABLISHED)
sshd    11219       root    4u  IPv4 1544285      0t0  TCP 127.0.0.1:ssh->127.0.0.1:38662 (ESTABLISHED)
sshd    11220       sshd    4u  IPv4 1544285      0t0  TCP 127.0.0.1:ssh->127.0.0.1:38662 (ESTABLISHED)
sshd    11221       root    4u  IPv4 1544285      0t0  TCP 127.0.0.1:ssh->127.0.0.1:38662 (ESTABLISHED)

ดูว่ากระบวนการ ssh ในพื้นที่ ( jiri ) ของฉันไปยัง localhost ทำให้เกิดกระบวนการที่มี PID 11220

(BTW สิ่งนี้ได้รับการทดสอบบน OpenSUSE Tumbleweed)

ข้อมูลเกี่ยวกับ sshd privsep https://security.stackexchange.com/a/115905/199910และการนำเสนอของโครงการ openssh https://www.openbsd.org/papers/openssh-measures-asiabsdcon2007-slides.pdf