Muchos intentos fallidos de sshd salientes. ¿Soy hackeado?

Navega tus respuestas
6

Durante los últimos dos días he visto muchas líneas en mi /var/log/auth.log que parecen: 

sshd[xxxxx]: error: connect_to 0.gravatar.com port 80: failed
sshd[xxxxx]: error: connect_to 1.gravatar.com port 80: failed
sshd[xxxxx]: error: connect_to 2.gravatar.com port 80: failed

No creo que nada en mi servidor use gravatar, e incluso si lo hiciera, no veo por qué debería estar involucrado sshd. Además, los informes aparecieron "al azar" y ha habido alrededor de 100 intentos fallidos por cada dirección gravatar por día.

He intentado hacer un poco de diagnóstico, pero no soy un experto. Intenté buscar scripts que usan gravatar (con grep en mi directorio web) y no he encontrado nada (lo que es más sospechoso).

Mientras cavaba, encontré dos directorios que me preocupan: 

/tmp/.X11-unix
/tmp/.ICE-unix

Pensé que deshabilité X11 en mi servidor porque no lo uso, y no tengo nada que ver con el IRC ni con ninguna otra cosa que pueda imaginar que estaría en .ICE-unix. No hay nada en en ninguno de los directorios, pero su existencia me resulta sospechosa (posiblemente debido a mi propia ignorancia).

No puedo encontrar ninguna otra evidencia de que me hayan pirateado, y pensé que tenía una nave bastante cerrada, pero obviamente estoy preocupado por esto. Ejecuto un servidor Debian y me aseguro de que cada paquete se actualice cada semana. Soy nuevo en este sitio y estoy investigando un hack, por lo que aprecio su paciencia y si hay algo que pueda hacer para que me ayude, hágamelo saber (le haré saber que he leído toneladas de artículos y me esforcé tanto como pude antes de preguntar aquí, porque valoro todo su tiempo).

    
pregunta Beau 07.04.2014 - 21:55
fuente

1 respuesta

7

Supongo que usted (o alguien más en su servidor) está haciendo un túnel proxy de SSH y se está conectando a stackexchange u otro sitio usando gravitar, y por alguna razón, esas conexiones a gravatar se agotaron. No creo que mi servidor doméstico haya sido pirateado y veo mensajes similares en mi auth.log, pero solo en los días en que estaba usando el proxy SSH. Los mensajes están en my_home_computer cuando estoy usando un proxy de una computadora diferente que fue configurada por ssh -fND localhost:12346 my_home_computer - concedido mis entradas están registrando direcciones IP como: 

Mar  6 14:33:57 my_home_computer sshd[17500]: error: connect_to 173.192.82.196 port 80: failed.

Mi conjetura es que estos mensajes corresponden a las líneas en el lado que usan el proxy que dicen: 

channel 6: open failed: connect failed: Connection timed out
channel 4: open failed: connect failed: No route to host
channel 2: open failed: connect failed: Connection timed out

EDITAR: Pruebas adicionales confirmaron esta sospecha. Iniciar el túnel ssh con el indicador detallado establecido ( -v ): 

ssh -vfND localhost:12346 my_home_computer

y tratando de conectarse a una dirección IP incorrecta ( 10.11.12.13 ) que eventualmente se agota, en el tiempo de espera (visible en el navegador web con un mensaje "La conexión se ha agotado"), la salida del terminal que se inició El túnel ssh mostrará: 

channel 2: open failed: connect failed: Connection timed out
debug1: channel 2: free: direct-tcpip: listening port 12346 for 10.11.12.13 port 80, connect from 127.0.0.1 port 34199, nchannels 10

Mientras tanto, al ver la salida de auth.log al mismo tiempo con sudo tail -f /var/log/auth.log , aparecerá la siguiente entrada de registro: 

Apr  7 17:38:03 my_home_computer sshd[23789]: error: connect_to 10.11.12.13 port 80: failed.

TL; DR : simplemente la navegación web inofensiva y ssh le advierten que al navegar por algunas solicitudes HTTP se agotó el tiempo de espera o no se pudo realizar ninguna ruta en varios puntos del día.

    
respondido por el dr jimbob 07.04.2014 - 22:28
fuente

Lea otras preguntas en las etiquetas

Ataque XSS reflejado mediante solicitud POST y carga útil XML Nuevo en ossec: ¿qué hace la respuesta activa fuera de la caja?