Пользователь
Сообщения: 59
Благодарности: 0
|
Профиль
|
Отправить PM
| Цитировать
Ну вот, к счастью или к сожалению, даже не уверен, появились новые подробности.
Ставлю нулёвую новую машину другу, на неё Дебиан Ленни (тестируемый). Вчера вечером сидел в этом Дебиане и сами по себе слетели Х-ы, т.е. зависли, перекорёжилась вся графика, клава и мыш не работали никак. Причём сбоя по питанию не было вообще (горел свет, монитор не мигнул, только перекорёжилось всё изображение, а у компа корпус 400Вт). Ресет. Помня о всякой фигне в /tmp, идутуда и обнаруживаю появление и изменение каких-то непонятных файлов от имени юзера leonid (это я так юзера назвал), и от имени рута. Из того, что там возникало, я предположительно сделал вывод о том, что на меня зашли по SSH.
Что там было сомнительного? Были длинные файлы в дире /tmp/orbit-leonid вида linc-b4a-0-... и linc-b66-0-... -- порывшись в нете, нашёл, что это файлы компонентов CORBA. Ладно, может быть. Была создана такая конструкция: /tmp/gconfd-leonid/lock/ior с правами -rwx------ для root:root. Вроде оно должно иметь отношение к GTK, точно не могу сказать. Не понял, зачем оно нужно, в гугле какая-то отрывочная информация. Совсем напрягло наличие /tmp/agent.2780 с владельцами leonid:leonid. Ну, и прямо на моих глазах создание и переделка каких-то файлов с упоминанием ssh, каких-то сервисов и ещё чего-то. Убил под рутом всё подозрительное. Причём, когда убил пару элементов из /tmp, через минуту зашёл туда же рутом, и увидел, что эти же самые элементы появились, на этот раз симлинками на файлы, нарисовавшиеся теперь в /var/tmp, что тоже не порадовало. Может быть, я и выглядел котёнком, гоняющимся за собственным хвостом, но я хочу чётко понимать, что происходит на моей машине, особенно после таких весьма неприятных сбоев!
На линуксфоруме предложили посмотреть /etc/passwd на наличие подозрительных записей. Вот, что мне там показалось непонятным и я их удалил:
www-data:x:33:33:www-data:/var/www:bin/sh
festival:x:104:29::/home/festival:/bin/false
saned:x:106:112::/home/saned:/bin/false
Последнее очень напоминает что-то от сканерной системы SANE, но нуждается в подтверждении.
Команда netstat показала подключения, среди которых в том числе были и с такими именами: /kla, /klaun и /i. Не нашёл таких в гугле.
Пожалуйста, посмотрите мой /var/log/auth.log, там записано, что происходило, но я не понимаю, как это интерпретировать и насколько безопасно то, что там создавалось (насколько я понял, именно в то время, когда я заходил в консоли под рутом через su, запуская mc. Мне непонятно, почему в одной попытке входа в систему там написано, что ruser=leonid и при этом его uid=0. Хочу вообще запрета всем ремоут юзерам коннектиться к моим машинам по-любому. Как это реализовать?
Нашёл в сети про запрет хостам ALL: ALL в файле /etc/hosts.deny. Вписал, наряду с раскомментированием ALL: PARANOID.
Насколько правильно всё, что я сделал в свете защиты от удалённых соединений и что ещё надо сделать, чтобы навсегда их заблокировать?
|
