V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
coolwind
V2EX  ›  问与答

各位大佬, Linux 帐号使用/sbin/nologin 还被人 ssh 连接成功,主机是被入侵了吗?

  •  
  •   coolwind · 2017-10-05 17:44:46 +08:00 · 3339 次点击
    这是一个创建于 2641 天前的主题,其中的信息可能已经有所发展或是发生改变。
    有一台 CentOS 6 主机,有配置一个 production 的帐号,默认登入 shell 是 /sbin/nologin 此帐号通过 ftp 上传下载档案
    production:x:508:508::/home/production:/sbin/nologin

    今日警察通知有人通过此主机盗刷信用卡,还提供了远程连接 IP,检查 /var/log/secure 日志,发现有人远程登入此帐号几次(同一分钟内) 只有两行日志,重复了几次
    Accepted password for production from yyy.yyy.yyy.yyy port 41399 ssh2
    pam_unix(sshd:session): session opened for user production by (uid=0)

    我测试 ssh production@ip 输入密码,/var/log/secure 日志提示如下,看起来不能 ssh 连接成功(下面多了两行信息)
    Accepted password for production from xxx.xxx.xxx.xxx port 58670 ssh2
    pam_unix(sshd:session): session opened for user production by (uid=0)
    Received disconnect from xxx.xxx.xxx.xxx: 11: disconnected by user
    pam_unix(sshd:session): session closed for user production

    目前已经修改了 production 帐号密码
    各位大佬,这种情况有什么检测主机是否被入侵的方法吗?越详细越好,谢谢!
    8 条回复    2017-10-06 02:04:54 +08:00
    flynaj
        1
    flynaj  
       2017-10-05 17:59:34 +08:00   ❤️ 1
    可能他没用 shell 只是用了 IP 转发!相当于当做代理服务器来用!
    Beebird
        2
    Beebird  
       2017-10-05 18:22:55 +08:00   ❤️ 2
    比如对方这样就无需 login shell 但可以通过你的 server 转发到 amazon:
    ssh -fNT -L9443:54.239.25.192:443 production@<server ip>
    本地浏览器 https://localhost:9443
    coolwind
        3
    coolwind  
    OP
       2017-10-05 19:04:49 +08:00
    @flynaj 看起来是这样,没用 shell
    @Beebird 确实是这样,通过您提供的 ssh 转发,日志里只有两条(沒有用到 login shell),虽然點擊 https://localhost:9443 跳轉到了 amazon 网站
    Accepted password for production from yyy.yyy.yyy.yyy port 41399 ssh2
    pam_unix(sshd:session): session opened for user production by (uid=0)
    coolwind
        4
    coolwind  
    OP
       2017-10-05 19:06:53 +08:00
    @Beebird
    @flynaj

    假如帐号密码泄漏,有什么办法可以阻止当作代理服务器来用吗?
    falcon05
        5
    falcon05  
       2017-10-05 19:07:36 +08:00 via iPhone   ❤️ 1
    先禁用 ssh 转发吧
    coolwind
        6
    coolwind  
    OP
       2017-10-05 19:20:12 +08:00
    @Beebird 这样能提供 socks5 代理(看起来泄漏密码后)
    ssh -fN -D 127.0.0.1:9433 production@ip

    @falcon05 是!

    感谢以上所有大大,感恩感恩!
    lekai63
        7
    lekai63  
       2017-10-05 21:36:11 +08:00 via iPhone
    问下 vps 已禁用密码登陆 也禁了 root 登陆
    日常使用只通过普通账户私玥登陆,权限通过 sudo 执行
    如此这般是否可规避楼上被 ssh 端口映射的风险(不考虑私玥泄露、服务器应用程序漏洞及 0day 等情况)
    flynaj
        8
    flynaj  
       2017-10-06 02:04:54 +08:00 via Android   ❤️ 1
    @lekai63 可以配置禁止转发
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2411 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 30ms · UTC 02:09 · PVG 10:09 · LAX 18:09 · JFK 21:09
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.