テスト目的で稼働しているサーバーがあり、最近 /var/log/syslog、/var/log/user.log、および /var/log/messages に奇妙なログ エントリがいくつか記録されました。auth.log には疑わしいものは何も表示されません。この間、(人間の) ユーザーはログインしていないはずです。
サーバーはほとんどソフトウェアを実行せず、sshd デーモンのみを実行します。
ログ エントリからは、どのプログラムが作成したかはわかりませんが、何らかのポート スキャンおよびプローブ アクティビティから発生したものと思われます。
これらのメッセージがどこから来ているのか、誰か分かるでしょうか? (SOMEDATETIME はログエントリの時刻、SOMEIP は不明な IP アドレスです)
SOMEDATETIME GET / HTTP/1.0#015
SOMEDATETIME SOMEIP #015
SOMEDATETIME SOMEIP #015
SOMEDATETIME SOMEIP #015
SOMEDATETIME OPTIONS / HTTP/1.0#015
SOMEDATETIME SOMEIP #015
SOMEDATETIME OPTIONS / RTSP/1.0#015
SOMEDATETIME SOMEIP #015
SOMEDATETIME SOMEIP HELP#015
SOMEDATETIME SOMEIP #026#003#000#000S#001#000#000O#003#000?G���,���`~�#000��{�Ֆ�w����<=�o�#020n#000#000(#000#026#000#023
SOMEDATETIME SOMEIP #026#003#000#000i#001#000#000e#003#003U#034��random1random2random3random4#000#000#014#000/
SOMEDATETIME SOMEIP #000#000#000qj�n0�k�#003#002#001#005�#003#002#001
SOMEDATETIME GET /nice%20ports%2C/Tri%6Eity.txt%2ebak HTTP/1.0#015
SOMEDATETIME SOMEIP #015
SOMEDATETIME SOMEIP #001default
SOMEDATETIME SOMEIP #002
SOMEDATETIME OPTIONS sip: nm SIP/2.0#015
SOMEDATETIME SOMEIP Via: SIP/2.0/TCP nm;branch=foo#015
SOMEDATETIME SOMEIP From: <sip:nm@nm>;tag=root#015
SOMEDATETIME SOMEIP To: <sip:nm2@nm2>#015
SOMEDATETIME SOMEIP Call-ID: 50000#015
SOMEDATETIME SOMEIP CSeq: 42 OPTIONS#015
SOMEDATETIME SOMEIP Max-Forwards: 70#015
SOMEDATETIME SOMEIP Content-Length: 0#015
SOMEDATETIME SOMEIP Contact: <sip:nm@nm>#015
SOMEDATETIME SOMEIP Accept: application/sdp#015
SOMEDATETIME SOMEIP #015
答え1
これは、誰かがサーバーに対して Nmap スキャンを実行した結果です。Nmap は開いている TCP ポートを見つけ、さまざまなパケットを送信して、そのポートでいくつかの一般的なサービス タイプ (HTTP、RTSP、SIP など) がアクティブになっているかどうかを検出しようとします。
(開発中のサーバー アプリケーションに対して Zenmap 7.40 を実行してみたところ、まったく同じ文字列のシーケンスがログに記録されました)。
答え2
この動作の説明はrsyslogの設定にあることが分かりました。デフォルトでは、rsyslogはポート514からのUDP入力を受け入れ、受信したパッケージをメッセージ、syslog、usr.logログファイルに記録します。これは、rsyslogがデフォルトでリモートログサービスとしても動作するように設定されているためです。これをコメントアウトすることで無効にすることができます。
#$ModLoad imudp
#$UDPServerRun 514
#$ModLoad imtcp
#$InputTCPServerRun 514
/etc/rsyslog.conf内
答え3
表示されたログはあまり役に立ちません。SOMEIP が常に同じかどうか、SOMEDATETIME が大きく異なるかどうか、すべてが 1 回のバーストで発生するかどうか、またはいくつかの小さな時間間隔に集中しているかどうかが明確ではありません。
いずれにせよ、これらは基本的に、あなたが実行していないWebサーバーへの接続を試みているものであり、そのためメッセージは/var/logなどに記録されます/var/log/apache2
。誰かが、リッスンしていないWebサーバーをこじ開けようと、それほどの労力を費やすというのは少し奇妙に思えます。ない出力をチェックすることで、Webサーバーが稼働しているかどうかを確認します。
ss -lntp
標準 (80,443) または非標準ポートでリッスンするサーバーの場合。
残りのログは、Webサーバー経由でPBXへの接続の試みを記録しているため、さらに興味深いものになります。PBXは、OPによると、実行されていないようです。しかし、プロトコル(SIP)、アドレス、、<sip:nm@nm>
およびセッション記述プロトコル(Accept: application/sdp
)すべてがこのことを物語っています。
もう一度言いますが、PBX? 誰かがあなたのマシンにそれを仕掛けたようです。繰り返しますが、もしマシンが侵害されていないと思われる場合は、コマンド
ss -lnup
(TCP プロトコルではなく UDP プロトコルの場合) どのプロセスがどのポートをリッスンしているかがわかります。
しかし、もしあなたのマシンが侵害されたら、上記の報告は疑わしいことは何も報告しないかもしれませんが、実際には多くの違法行為が行われています。 をダウンロードして実行することで、あなたの不安を和らげることができます(残念ながら、根拠は十分にあります)chkrootkit
。rkhunter
また、こちらで読む(自分の回答を参考にして申し訳ありません。良くないことは承知していますが、作業が省けるので)。そして何よりも、自分自身に次の質問をする必要があります。ssh でのパスワード ログインを無効にして、代わりに暗号化キーを導入しましたか?この質問の答えがいいえ、マシンが侵害されている可能性があります。その場合は最初から再インストールし、上記の手順に従ってパスワード ログインを無効にしssh
、より安全な公開/秘密キーの使用に切り替える必要があります。