¿Esta máquina está comprometida? (servidor iRedMail, registros extraños)

Navega tus respuestas
1

Estoy ejecutando un servidor iRedMail en Ubuntu Xenial. Varias utilidades me enviaron registros por correo electrónico y algunas entradas me hicieron sospechar que la máquina fue hackeada.

11 veces:  [2016-11-19 22:20:19 ± 3 segundos] error de autenticación de contraseña para el usuario "postgres"

No he intentado iniciar sesión como postgres. No hay entradas como esta de días anteriores. No creo que PostgreSQL deba aceptar conexiones de internet.

Desde hace 5 días: 

--ALERT-- [perm023a] /bin/su is setuid to 'root'. 
--ALERT-- [perm023a] /usr/bin/at is setuid to 'daemon'. 
--ALERT-- [perm024a] /usr/bin/at is setgid to 'daemon'. 
--WARN-- [perm001w] The owner of /usr/bin/at should be root (owned by daemon). 
--WARN-- [perm002w] The group owner of /usr/bin/at should be root. 
--ALERT-- [perm023a] /usr/bin/passwd is setuid to 'root'. 
--ALERT-- [perm024a] /usr/bin/wall is setgid to 'tty'.

No tengo idea de qué se trata.

Hoy recibí esto:

NUEVO: --WARN-- [lin002i] El proceso 'python' está escuchando en el socket 47178 (UDP) en cada interfaz.

Puedo ver 2 procesos de Python, uno que se ejecuta bajo iredapd (relacionado con iRedMail), uno debajo de la raíz. De acuerdo con la página de "puertos abiertos" en el sitio web de iRedMail, no debería haber nada como esto. Por otra parte, realmente no veo el puerto abierto con nmap.

Desde hace 6 días (lo noté hace un momento):

Ejecutando chkrootkit (/ usr / sbin / chkrootkit) para realizar verificaciones adicionales ... --WARN-- [rootkit004w] Chkrootkit ha detectado una posible instalación de rootkit Posible Linux / Ebury - Operación Windigo installetd

Por googlear un poco parece un falso positivo, pero no estoy seguro.

¿Cómo debo ver esto?

    
pregunta Atte Juvonen 20.11.2016 - 22:24
fuente

1 respuesta

2

En Linux (u otros Unices), un programa setuid es un programa que debe ejecutarse con los derechos del propietario del programa, no el que lo llamó. Por ejemplo, si escribe ping google.com , es probable que el ping se ejecute como root para permitir la recepción de paquetes ICMP. Esto no es un agujero de seguridad, ya que ping no permite escapes de shell. Todos los programas enumerados tienen una razón para ser configurados, y no hay nada de qué preocuparse.

  • su debe ejecutarse como root para cambiar su ID de usuario.
  • debe ejecutar el comando como el usuario al que se le pidió que ejecute.
  • passwd necesita leer / etc / shadow, y por lo tanto debe ser root.
  • el muro debe escribir en las terminales de otras personas y, por lo tanto, debe funcionar como ese grupo.

La advertencia de chkrootkit es más preocupante, así como el incidente del puerto de red Python. Intente escanear los puertos localmente (nmap localhost a través de SSH), y vea si el puerto está abierto, ya que incluso si está vinculado a todas las interfaces, es posible que el puerto tenga un firewall desde el exterior. Intente usar strace para averiguar qué archivos está abriendo el proceso de Python, o mejor aún, use ps para averiguar los argumentos de la línea de comandos que recibió Python, y simplemente ubique el script para ver qué hace.

No soy un experto en PostgreSQL, pero supongo que no permitir el inicio de sesión desde Internet significa responder "no autorizado" a todos, por lo que aún puede aparecer en los registros. Algunos script kiddies siempre ejecutan análisis con contraseñas predeterminadas para ver en qué servidores pueden ingresar. El hecho de que diga que el inicio de sesión falló es bueno.

    
respondido por el maservant 21.11.2016 - 14:03
fuente

Lea otras preguntas en las etiquetas

¿Por qué McAfee piensa que Stack Exchange es malicioso? Ataque de reinicio de TCP, número de paquetes de reinicio