Запись в журнале Rsyslogd об атаке, созданной неизвестным приложением

Question 1

Это результат того, что кто-то запустил сканирование Nmap на вашем сервере — Nmap находит открытый порт TCP, а затем отправляет различные пакеты, пытаясь выяснить, активен ли на этом порту какой-либо из ряда распространенных типов служб (HTTP, RTSP, SIP,...).

(Я только что попробовал запустить Zenmap 7.40 на серверном приложении, которое я разрабатываю, и зарегистрировал точно такую же последовательность строк).

Answer

Это результат того, что кто-то запустил сканирование Nmap на вашем сервере — Nmap находит открытый порт TCP, а затем отправляет различные пакеты, пытаясь выяснить, активен ли на этом порту какой-либо из ряда распространенных типов служб (HTTP, RTSP, SIP,...).

(Я только что попробовал запустить Zenmap 7.40 на серверном приложении, которое я разрабатываю, и зарегистрировал точно такую же последовательность строк).

Question 2

Я обнаружил, что объяснение такого поведения кроется в конфигурации rsyslog. По умолчанию rsyslog принимает входные данные UDP с порта 514 и регистрирует все входящие пакеты в файлах сообщений, syslog и usr.log. Это происходит потому, что rsyslog также настроен на работу в качестве удаленной службы регистрации по умолчанию. Это можно отключить, закомментировав

#$ModLoad imudp
#$UDPServerRun 514
#$ModLoad imtcp
#$InputTCPServerRun 514

в /etc/rsyslog.conf

Answer

Я обнаружил, что объяснение такого поведения кроется в конфигурации rsyslog. По умолчанию rsyslog принимает входные данные UDP с порта 514 и регистрирует все входящие пакеты в файлах сообщений, syslog и usr.log. Это происходит потому, что rsyslog также настроен на работу в качестве удаленной службы регистрации по умолчанию. Это можно отключить, закомментировав

#$ModLoad imudp
#$UDPServerRun 514
#$ModLoad imtcp
#$InputTCPServerRun 514

в /etc/rsyslog.conf

Question 3

Представленный вами журнал не очень полезен: неясно, всегда ли SOMEIP одинаков или нет, сильно ли отличаются SOMEDATETIME, происходят ли они все в одном пакете или сгруппированы вокруг небольшого количества временных интервалов.

В любом случае, это в основном попытки связаться с вашим веб-сервером, который вы не используете, поэтому сообщения записываются в /var/log вместо /var/log/apache2или что-то в этом роде. Кажется немного странным, что кто-то прикладывает столько усилий, чтобы попытаться открыть веб-сервер, который не слушает, пожалуйста, убедитесь, что вы это делаетенетиметь работающий веб-сервер, проверив вывод

 ss -lntp

для серверов, прослушивающих стандартные (80,443) или нестандартные порты.

Оставшиеся логи становятся более интересными, поскольку они фиксируют попытки связаться с АТС через ваш веб-сервер, АТС, которую, согласно вашему OP, вы не используете. Тем не менее, протокол (SIP), адрес, <sip:nm@nm>иПротокол описания сеанса( Accept: application/sdp) все это говорит само за себя.

Еще раз, вы уверены, что не используетеАТС? Похоже, кто-то подложил его на вашу машину. Опять же,есливы считаете, что ваша машина не была нарушена, команда

ss -lnup

(для протокола UDP вместо протокола TCP) сообщит вам, какой процесс прослушивает какой порт.

Но, если ваша машина была взломана, вышесказанное может не сообщать ничего подозрительного, хотя на самом деле происходит много противозаконного. Вы можете попытаться успокоить свои страхи (обоснованные, увы), загрузив и запустив chkrootkitи rkhunter. Вы также можетечитать здесь(извините за ссылку на мой собственный ответ, я знаю, что это нехорошо, но это экономит мне немного работы). И прежде всего, вы должны спросить себя:Я отключил парольный вход по SSH и вместо этого ввел криптографические ключи?Если ответ на этот вопросНет, то есть вероятность, что ваша машина была взломана. Затем вам следует переустановить ее с нуля и следовать инструкциям выше, чтобы отключить вход по паролю sshв пользу использования открытых/закрытых ключей, которые намного безопаснее.

Answer

Представленный вами журнал не очень полезен: неясно, всегда ли SOMEIP одинаков или нет, сильно ли отличаются SOMEDATETIME, происходят ли они все в одном пакете или сгруппированы вокруг небольшого количества временных интервалов.

В любом случае, это в основном попытки связаться с вашим веб-сервером, который вы не используете, поэтому сообщения записываются в /var/log вместо /var/log/apache2или что-то в этом роде. Кажется немного странным, что кто-то прикладывает столько усилий, чтобы попытаться открыть веб-сервер, который не слушает, пожалуйста, убедитесь, что вы это делаетенетиметь работающий веб-сервер, проверив вывод

 ss -lntp

для серверов, прослушивающих стандартные (80,443) или нестандартные порты.

Оставшиеся логи становятся более интересными, поскольку они фиксируют попытки связаться с АТС через ваш веб-сервер, АТС, которую, согласно вашему OP, вы не используете. Тем не менее, протокол (SIP), адрес, <sip:nm@nm>иПротокол описания сеанса( Accept: application/sdp) все это говорит само за себя.

Еще раз, вы уверены, что не используетеАТС? Похоже, кто-то подложил его на вашу машину. Опять же,есливы считаете, что ваша машина не была нарушена, команда

ss -lnup

(для протокола UDP вместо протокола TCP) сообщит вам, какой процесс прослушивает какой порт.

Но, если ваша машина была взломана, вышесказанное может не сообщать ничего подозрительного, хотя на самом деле происходит много противозаконного. Вы можете попытаться успокоить свои страхи (обоснованные, увы), загрузив и запустив chkrootkitи rkhunter. Вы также можетечитать здесь(извините за ссылку на мой собственный ответ, я знаю, что это нехорошо, но это экономит мне немного работы). И прежде всего, вы должны спросить себя:Я отключил парольный вход по SSH и вместо этого ввел криптографические ключи?Если ответ на этот вопросНет, то есть вероятность, что ваша машина была взломана. Затем вам следует переустановить ее с нуля и следовать инструкциям выше, чтобы отключить вход по паролю sshв пользу использования открытых/закрытых ключей, которые намного безопаснее.

Запись в журнале Rsyslogd об атаке, созданной неизвестным приложением

решение1

решение2

решение3

Связанный контент