Ich habe zu Testzwecken einen Server laufen, der in letzter Zeit einige seltsame Protokolleinträge in /var/log/syslog, /var/log/user.log und /var/log/messages aufgefangen hat. auth.log zeigt nichts Verdächtiges. Während dieser Zeit sollte kein (menschlicher) Benutzer angemeldet gewesen sein.
Auf dem Server läuft fast keine Software, nur der SSHD-Daemon.
Aus den Protokolleinträgen geht nicht hervor, welches Programm sie erstellt hat. Sie scheinen auf Port-Scanning- und Sondierungsaktivitäten zu zurückzuführen zu sein.
Hat jemand eine Idee, woher diese Meldungen kommen können? (SOMEDATETIME ist der Zeitpunkt des Logeintrags und SOMEIP eine unbekannte IP-Adresse)
SOMEDATETIME GET / HTTP/1.0#015
SOMEDATETIME SOMEIP #015
SOMEDATETIME SOMEIP #015
SOMEDATETIME SOMEIP #015
SOMEDATETIME OPTIONS / HTTP/1.0#015
SOMEDATETIME SOMEIP #015
SOMEDATETIME OPTIONS / RTSP/1.0#015
SOMEDATETIME SOMEIP #015
SOMEDATETIME SOMEIP HELP#015
SOMEDATETIME SOMEIP #026#003#000#000S#001#000#000O#003#000?G���,���`~�#000��{�Ֆ�w����<=�o�#020n#000#000(#000#026#000#023
SOMEDATETIME SOMEIP #026#003#000#000i#001#000#000e#003#003U#034��random1random2random3random4#000#000#014#000/
SOMEDATETIME SOMEIP #000#000#000qj�n0�k�#003#002#001#005�#003#002#001
SOMEDATETIME GET /nice%20ports%2C/Tri%6Eity.txt%2ebak HTTP/1.0#015
SOMEDATETIME SOMEIP #015
SOMEDATETIME SOMEIP #001default
SOMEDATETIME SOMEIP #002
SOMEDATETIME OPTIONS sip: nm SIP/2.0#015
SOMEDATETIME SOMEIP Via: SIP/2.0/TCP nm;branch=foo#015
SOMEDATETIME SOMEIP From: <sip:nm@nm>;tag=root#015
SOMEDATETIME SOMEIP To: <sip:nm2@nm2>#015
SOMEDATETIME SOMEIP Call-ID: 50000#015
SOMEDATETIME SOMEIP CSeq: 42 OPTIONS#015
SOMEDATETIME SOMEIP Max-Forwards: 70#015
SOMEDATETIME SOMEIP Content-Length: 0#015
SOMEDATETIME SOMEIP Contact: <sip:nm@nm>#015
SOMEDATETIME SOMEIP Accept: application/sdp#015
SOMEDATETIME SOMEIP #015
Antwort1
Es ist das Ergebnis eines Nmap-Scans auf Ihrem Server. Nmap findet einen offenen TCP-Port und sendet dann verschiedene Pakete, um herauszufinden, ob einer der gängigen Diensttypen (HTTP, RTSP, SIP usw.) auf diesem Port aktiv ist.
(Ich habe gerade versucht, Zenmap 7.40 mit einer Serveranwendung auszuführen, die ich gerade entwickle, und habe genau dieselbe Zeichenfolge protokolliert.)
Antwort2
Ich habe festgestellt, dass die Erklärung für dieses Verhalten in der rsyslog-Konfiguration liegt. Standardmäßig akzeptiert rsyslog UDP-Eingaben von Port 514 und protokolliert alle eingehenden Pakete in Nachrichten, Syslog- und usr.log-Protokolldateien. Dies liegt daran, dass rsyslog standardmäßig auch so konfiguriert ist, dass es als Remote-Protokollierungsdienst fungiert. Dies kann durch einen Kommentar deaktiviert werden.
#$ModLoad imudp
#$UDPServerRun 514
#$ModLoad imtcp
#$InputTCPServerRun 514
in /etc/rsyslog.conf
Antwort3
Das von Ihnen angezeigte Protokoll ist nicht besonders hilfreich: Es ist nicht klar, ob SOMEIP immer gleich ist oder nicht, oder ob sich SOMEDATETIMEs stark unterscheiden, oder ob sie alle auf einmal auftreten, oder ob sie um eine kleine Anzahl von Zeitintervallen gruppiert sind.
Auf jeden Fall sind dies im Grunde Versuche, Ihren Webserver zu kontaktieren, den Sie nicht ausführen, daher werden die Nachrichten in /var/log anstatt in /var/log/apache2oder so etwas protokolliert. Es erscheint etwas seltsam, dass jemand so viel Aufwand in den Versuch steckt, einen Webserver zu öffnen, der nicht zuhört. Bitte stellen Sie sicher, dass SienichtÜberprüfen Sie die Ausgabe von
ss -lntp
für Server, die auf Standard-Ports (80.443) oder Nicht-Standard-Ports lauschen.
Die restlichen Protokolle werden interessanter, da sie Versuche aufzeichnen, eine PBX über Ihren Webserver zu kontaktieren, PBX, die Sie laut Ihrem OP nicht betreiben. Das Protokoll (SIP), die Adresse <sip:nm@nm>und dieSitzungsbeschreibungsprotokoll( Accept: application/sdp) sprechen Bände.
Noch einmal: Sind Sie sicher, dass Sie nichtTelefonanlage? Es sieht so aus, als hätte jemand einen auf Ihrem Computer platziert. Noch einmal,WennSie denken, dass Ihre Maschine nicht verletzt wurde, der Befehl
ss -lnup
(für das UDP-Protokoll, statt für das TCP-Protokoll) zeigt Ihnen, welcher Prozess auf welchem Port lauscht.
Aber, wenn Ihr Computer gehackt wurde, kann es durchaus sein, dass die oben genannten Meldungen nichts Verdächtiges melden, obwohl tatsächlich viel Illegales passiert. Sie können versuchen, Ihre (leider begründeten) Ängste zu zerstreuen, indem Sie und herunterladen und ausführen chkrootkit. rkhunterSie können auchLies hier(Entschuldigung, dass ich auf meine eigene Antwort verweise. Ich weiß, dass das nicht nett ist, aber es erspart mir Arbeit.) Und vor allem sollten Sie sich fragen:Habe ich die Kennwortanmeldung bei SSH deaktiviert und stattdessen kryptografische Schlüssel eingeführt?Wenn die Antwort auf diese FrageNEIN, dann ist Ihr Computer wahrscheinlich gehackt worden. Sie sollten dann von Grund auf neu installieren und die obigen Anweisungen befolgen, um die Passwortanmeldung zu deaktivieren und stattdessen sshöffentliche/private Schlüssel zu verwenden, die wesentlich sicherer sind.