Linux

我的 Linux 伺服器是否遭到入侵?我該怎麼說?

  • July 11, 2013

在路由器後面執行 (X)Ubuntu 10.04.2 LTS。

我剛剛在該機器上收到了一封來自我的 root 帳戶的電子郵件,主題如下:

*** SECURITY information for <hostname>:

郵件正文包含以下警告:

<hostname> : jun 1 22:15:17 : <username> : 3 incorrect password attempts ; TTY=unknown ; PWD=/ ; USER=root ; COMMAND=/bin/sh /tmp/tmpPHBmTO

我看不到任何/tmp/tmpPHBmTO文件,儘管有一個文件名為/tmp/tmpwoSrWW,其時間戳記為 2011-06-01 22:14,所以就在提到的日期/時間之前。這是一個二進製文件,內容對我來說並不熟悉。此外,該文件只有-rw-------權限。

當我讀到它時,這意味著某人(或某物)可以(有)訪問我的機器。顯然不是 root 訪問(還),但/tmp至少足以將文件寫入我的目錄。

有人對我可以在哪裡尋找更多資訊有任何指示:誰可以做到這一點,以及他們如何做到這一點?

我的路由器配置為允許訪問 SSH、HTTP(nginx 充當其他幾種服務之一的反向代理)、SMTP、POP(後綴)和 IMAP(dovecot)以及埠 51413(傳輸)的轉發流量。

我意識到自從最初的問題被問到已經兩年了,但如果其他人像我一樣通過Google來到這裡:我看到了由 Dropbox 守護程序在沒有執行任何伺服器的伺服器上使用非 root 帳戶執行引起的行為X 伺服器。我設法在文件被刪除之前複製了它們。出於某種原因,守護程序想要重置其數據目錄的權限(不要介意它甚至不需要 root 來執行此操作)並終止某些程序。我只能推測為什麼,也許它做了某種自動更新並試圖重新載入自己或類似的東西。

文件 /tmp/tmpe1AGcd 包含:

#!/bin/bash
sudo -K
zenity --entry --title="Dropbox" --text="Dropbox needs your permission to save settings to your computer.

Type your Linux password to allow Dropbox to make changes." --entry-text "" --hide-text | sudo -S /bin/sh /tmp/tmpAH5mxL
if [ "$?" != 0 ]; then
zenity --error --text="Sorry, wrong password"
exit 1
fi

由於機器正在無頭執行並且甚至沒有安裝二進制“zenity”,sudo 收到空密碼嘗試並在嘗試執行 /tmp/tmpAH5mxL 時失敗,其中包含:

#!/bin/bash
chown -R 1000 "/home/<username>/.dropbox"
chmod -R u+rwX "/home/<username>/.dropbox"
kill -s USR2 5364

我得到的結果資訊與您所做的相同:

<hostname> : Jul  4 16:32:24 : <username>: 3 incorrect password attempts ; TTY=unknown ; PWD=/ ; USER=root ; COMMAND=/bin/sh /tmp/tmpAH5mxL

引用自:https://serverfault.com/questions/276934