Eu tenho um servidor em execução para fins de teste que recentemente detectou algumas entradas de log estranhas em /var/log/syslog, /var/log/user.log e /var/log/messages. auth.log não mostra nada suspeito. Nenhum usuário (humano) deveria estar conectado durante esse período.
O servidor quase não executa nenhum software, apenas o daemon sshd.
As entradas de log não revelam qual programa as criou; elas parecem originar-se de alguma atividade de varredura e sondagem de portas.
Alguém tem ideia de onde essas mensagens podem vir? (SOMEDATETIME é a hora da entrada do log e SOMEIP é um endereço IP desconhecido)
SOMEDATETIME GET / HTTP/1.0#015
SOMEDATETIME SOMEIP #015
SOMEDATETIME SOMEIP #015
SOMEDATETIME SOMEIP #015
SOMEDATETIME OPTIONS / HTTP/1.0#015
SOMEDATETIME SOMEIP #015
SOMEDATETIME OPTIONS / RTSP/1.0#015
SOMEDATETIME SOMEIP #015
SOMEDATETIME SOMEIP HELP#015
SOMEDATETIME SOMEIP #026#003#000#000S#001#000#000O#003#000?G���,���`~�#000��{�Ֆ�w����<=�o�#020n#000#000(#000#026#000#023
SOMEDATETIME SOMEIP #026#003#000#000i#001#000#000e#003#003U#034��random1random2random3random4#000#000#014#000/
SOMEDATETIME SOMEIP #000#000#000qj�n0�k�#003#002#001#005�#003#002#001
SOMEDATETIME GET /nice%20ports%2C/Tri%6Eity.txt%2ebak HTTP/1.0#015
SOMEDATETIME SOMEIP #015
SOMEDATETIME SOMEIP #001default
SOMEDATETIME SOMEIP #002
SOMEDATETIME OPTIONS sip: nm SIP/2.0#015
SOMEDATETIME SOMEIP Via: SIP/2.0/TCP nm;branch=foo#015
SOMEDATETIME SOMEIP From: <sip:nm@nm>;tag=root#015
SOMEDATETIME SOMEIP To: <sip:nm2@nm2>#015
SOMEDATETIME SOMEIP Call-ID: 50000#015
SOMEDATETIME SOMEIP CSeq: 42 OPTIONS#015
SOMEDATETIME SOMEIP Max-Forwards: 70#015
SOMEDATETIME SOMEIP Content-Length: 0#015
SOMEDATETIME SOMEIP Contact: <sip:nm@nm>#015
SOMEDATETIME SOMEIP Accept: application/sdp#015
SOMEDATETIME SOMEIP #015
Responder1
É o resultado de alguém executando uma varredura do Nmap em seu servidor - o Nmap encontra uma porta TCP aberta e, em seguida, envia vários pacotes tentando descobrir se algum dos vários tipos de serviços comuns (HTTP, RTSP, SIP,...) está ativo naquele porto.
(Eu tentei executar o Zenmap 7.40 em um aplicativo de servidor que estou desenvolvendo e registrei exatamente a mesma sequência de strings).
Responder2
Descobri que a explicação para esse comportamento está na configuração do rsyslog. Por padrão, o rsyslog aceita entrada UDP da porta 514 e registra todos os pacotes recebidos em mensagens, arquivos de log syslog e usr.log. Isso ocorre porque o rsyslog também está configurado para atuar como um serviço de log remoto por padrão. Isso pode ser desativado comentando
#$ModLoad imudp
#$UDPServerRun 514
#$ModLoad imtcp
#$InputTCPServerRun 514
em /etc/rsyslog.conf
Responder3
O log que você exibiu não é extremamente útil: não está claro se SOMEIP é sempre o mesmo ou não, ou se SOMEDATETIMEs são muito diferentes, ou se todos ocorrem em uma explosão ou estão agrupados em um pequeno número de intervalos de tempo.
De qualquer forma, são basicamente tentativas de entrar em contato com o seu servidor Web, que você não está executando, portanto, as mensagens são registradas em /var/log em vez de /var/log/apache2ou algo parecido. Parece um pouco estranho que alguém se esforce tanto para tentar abrir um servidor Web que não está escutando, por favor, certifique-se de fazer issonãoter um servidor Web em execução, verificando a saída de
ss -lntp
para servidores que escutam em portas padrão (80.443) ou não padrão.
Os logs restantes tornam-se mais interessantes, pois registram tentativas de contato com um PBX através do seu servidor Web, PBX que, de acordo com o seu OP, você não está executando. No entanto, o protocolo (SIP), o endereço, <sip:nm@nm>e oProtocolo de descrição de sessão( Accept: application/sdp) todos falam muito sobre isso.
Mais uma vez, você tem certeza de que não está executando umPABX? Parece que alguém plantou um na sua máquina. De novo,sevocê acha que sua máquina não foi violada, o comando
ss -lnup
(para o protocolo UDP, em vez do protocolo TCP) informará qual processo está escutando em qual porta.
Mas, se sua máquina foi violada, o que foi dito acima pode muito bem não relatar nada suspeito, embora na verdade muita coisa ilegal esteja acontecendo. Você pode tentar amenizar seus medos (bem fundamentados, infelizmente) baixando e executando chkrootkito rkhunter. Voce pode tambemleia aqui(desculpas por me referir à minha própria resposta, sei que não é legal, mas me poupa algum trabalho). E acima de tudo você deve se perguntar:desativei o login por senha no ssh e introduzi chaves criptográficas?Se a resposta a esta pergunta forNão, então é provável que sua máquina tenha sido violada. Você deve então reinstalar do zero e seguir as instruções acima para desabilitar o login por senha em sshfavor do uso de chaves públicas/privadas, que são imensamente mais seguras.