¿Una falla en el sistema o un error de OpenSSH?

7

El sistema ejecuta un demonio SSH y un servidor web nginx, ambos puertos están abiertos a Internet. Somos parte de una universidad, por lo que nuestros puertos se reenvían desde el enrutador principal a la intranet.

Aproximadamente a las 19:00, el demonio SSH deja de responder a todas las solicitudes de inicio de sesión. Todas las contraseñas, así como las claves SSH parecen inválidas. Respondimos desconectando la máquina dos horas después del incidente, en caso de que fuera más que un "fallo técnico".

También revisé los registros del daemon, y no hay ninguna razón para sospechar que el proceso se interrumpió, ya que seguía respondiendo a las solicitudes de contraseña, pero no permitía a ningún usuario iniciar sesión con las credenciales correctas.

He descartado un error de usuario al buscar en los archivos del historial del shell. La única otra opción es que fuimos atacados. Entonces mi pregunta es: ¿esto es un problema con OpenSSH, o mi sistema fue violado?

Me doy cuenta de que esta es una pregunta muy amplia con pocos detalles, por lo que le proporcionaré más información cuando la solicite.

EDIT Corriendo en Fedora 20 Heisenbug con OpenSSH v.6.4p1, y Nginx v1.6.0 No estoy seguro de qué software de auditoría está disponible en Fedora. ¿Alguien podría sugerir

    
pregunta rivanov 23.09.2015 - 18:43
fuente

2 respuestas

1

Esto podría haber sido el Kernel oom-killer en acción.

¿Cuánta RAM tiene tu máquina? ¿Tiene memoria de intercambio?

Lo que podría suceder es que cuando se queda sin memoria, oom-killer sacrificará un daemon y ese daemon podría haber sido el sshd.

Puede confirmarlo mirando en el registro de mensajes /var/log/messages o a través de journalctl .

    
respondido por el Wadih M. 16.01.2016 - 05:01
fuente
0

Hmmm ... tu pregunta no está clara.

Usted escribió:

  

Aproximadamente a las 19:00, el demonio SSH deja de responder a todas las solicitudes de   inicio de sesión.

Y luego:

  

Todas las contraseñas y las claves SSH parecen no ser válidas.

¿Respondió openssh o no? Causa, si openssh no respondió, ¿cómo puede saber que las contraseñas y las claves parecen no ser válidas? Además, ¿qué quiere decir con "inválido"? ¿Recibió un mensaje de "Permiso denegado"? o OpenSSH acaba de rendirse?

Eso puede ser muchas cosas, desde el error de openssh (sería sorprendente) hasta el retraso de la red o incluso el fallo al intentar asignar memoria o tty. Por favor sea más preciso.

    
respondido por el binarym 15.10.2016 - 12:00
fuente

Lea otras preguntas en las etiquetas