He publicado esto en ServerFault pero no he recibido una respuesta allí. No soy un profesional de la seguridad, pero tengo curiosidad por saber qué tipo de ataque podría ser y cómo podrían estarlo los atacantes. Me imaginé que alguien aquí con más conocimientos de seguridad podría saberlo.
Aquí está el texto de la publicación original:
Estoy viendo entradas extrañas para sshd en mis registros de auditoría en la línea de:
type = SECCOMP audit (1433519794.902: 46): auid = 20003 uid = 22 gid = 22 ses = 21 pid = 25136 comm="sshd" exe="/ usr / sbin / sshd" sig = 31 arch = 40000003 syscall = 102 compat = 0 ip = 0xb76c8aac código = 0x0
type = SECCOMP msg = audit (1433785727.186: 10262): auid = 20003 uid = 22 gid = 22 ses = 21 pid = 11217 comm="sshd" exe="/ usr / sbin / sshd" sig = 31 arch = 400 00003 syscall = 132 compat = 0 ip = 0xb7670aac code = 0x0
¿Alguien tiene alguna idea de lo que está pasando? Mi conjetura es que, OpenSSH realiza un proceso de caja de arena para la preautorización y alguien está intentando ejecutar llamadas al sistema (socketcall y getpgid) durante esta fase de conexión.
Todas las conexiones parecen provenir de Corea.
Debo agregar que estoy usando OpenSSH 6.7p1 y la versión del kernel de Linux 3.18.12.