https://slinkov.ru/openforum/vsluhforumID1/96982.html Добрый день.<br>Есть несколько виртуальных серверов на базе Ubuntu server 16-04 (xenial-server-cloudimg-amd64-disk1.img).<br><br>По умолчанию /etc/ssh/sshd_config:<br>PermitRootLogin prohibit-password<br>PasswordAuthentication no<br><br>Т.е. авторизация только по ключу. <br><br>Ключ не теряли.<br><br>НО кто-то всё же как-то попал на сервер, в логах:<br><br><br>Aug 25 01:17:01 HostNameX CRON[4060]: pam_unix(cron:session): session opened for user root by (uid=0)<br>Aug 25 01:17:01 HostNameX CRON[4060]: pam_unix(cron:session): session closed for user root<br>Aug 25 02:01:41 HostNameX login[1146]: pam_unix(login:auth): check pass; user unknown<br>Aug 25 02:01:41 HostNameX login[1146]: pam_unix(login:auth): authentication failure; logname=LOGIN uid=0 euid=0 tty=/dev/tty1 ruser= rhost=<br>Aug 25 02:01:45 HostNameX login[1146]: FAILED LOGIN (1) on '/dev/tty1' FOR 'UNKNOWN', Authentication failure<br>Aug 25 02:01:46 HostNameX sshd[1027]: Received signal 15; terminating.<br>Aug 25 02:02:54 HostNameX sshd[992]: Server listening on 0.0.0.0 port 22.<br>Aug 25 02 https://slinkov.ru/openforum/vsluhforumID1/96982.html#6 Tue, 12 Sep 2017 04:52:27 GMT Копай в сторону PAM. Смотри в конфиг PAM. Возможно что-то сконфигурировал не так.<br> https://slinkov.ru/openforum/vsluhforumID1/96982.html#5 Fri, 08 Sep 2017 00:17:45 GMT &gt; Да ладно, мож у него IPMI Supermicro в мир открыт.<br><br>Там нету IPMI, там облачный образ - xenial-server-cloudimg-amd64-disk1.img. Походу, там есть юзер setup, которым заходит облачный провайдер и что-то подшаманивает.<br><br>Поднял чужую систему под чужим управлением - должен страдать.<br><br><br> https://slinkov.ru/openforum/vsluhforumID1/96982.html#4 Mon, 04 Sep 2017 02:59:59 GMT &gt;&gt; Во вторых, предварительно рестартовали sshd: <br>&gt;&gt; Aug 25 02:04:54 HostNameX sshd[992]: Received signal 15; terminating.<br>&gt; Конфиги поломал, в панике долбит на кнопку питания, ничё не выходит, враги <br>&gt; мерещатся.<br>&gt; Aug 25 02:01:46 HostNameX sshd[1027]: Received signal 15; terminating.<br>&gt; Aug 25 02:02:54 HostNameX sshd[992]: Server listening on 0.0.0.0 port 22.<br>&gt; Aug 25 02:02:54 HostNameX systemd-logind[983]: Watching system buttons on /dev/input/event0 <br>&gt; (Power Button) <br><br>Да ладно, мож у него IPMI Supermicro в мир открыт.<br> https://slinkov.ru/openforum/vsluhforumID1/96982.html#3 Fri, 01 Sep 2017 01:45:20 GMT &gt; В какую сторону копать, чтобы понять где уязвимость?<br><br>О, пля, нахера логи обрезал? Тогда платно. <br> https://slinkov.ru/openforum/vsluhforumID1/96982.html#2 Fri, 01 Sep 2017 01:36:20 GMT &gt; Во вторых, предварительно рестартовали sshd: <br>&gt; Aug 25 02:04:54 HostNameX sshd[992]: Received signal 15; terminating.<br><br>Конфиги поломал, в панике долбит на кнопку питания, ничё не выходит, враги мерещатся. <br><br>Aug 25 02:01:46 HostNameX sshd[1027]: Received signal 15; terminating.<br>Aug 25 02:02:54 HostNameX sshd[992]: Server listening on 0.0.0.0 port 22.<br>Aug 25 02:02:54 HostNameX systemd-logind[983]: Watching system buttons on /dev/input/event0 (Power Button)<br><br><br><br> https://slinkov.ru/openforum/vsluhforumID1/96982.html#1 Thu, 31 Aug 2017 22:49:54 GMT Ну во первых, зашли не по ключу:<br>Aug 25 02:09:15 HostNameX sshd[1512]: Accepted password for setup from 127.0.0.1 port 43568 ssh2<br><br>Во вторых, предварительно рестартовали sshd:<br>Aug 25 02:04:54 HostNameX sshd[992]: Received signal 15; terminating.<br><br>А значит запустить его могли с любыми параметрами, и входу без ключа.<br><br>Откуда у Вас взялся юзер setup, вот в чем вопрос.<br>С учетом того что заходили с локального хоста, использовался какой-то backdoor.<br><br>А вообще - анализ - процедура платная, можете обратиться на фриланс, вам всё по полочкам разложат во вашим логам.<br>----<br>А вот эти две строчки:<br>Aug 25 02:02:59 HostNameX login[1105]: pam_unix(login:session): session opened for user setup by LOGIN(uid=0)<br>Aug 25 02:02:59 HostNameX login[1195]: ROOT LOGIN on '/dev/tty1'<br><br>говорят о том, что залогинились локально изначально а не по ssh, и рестартанули ssh.<br><br>У Вас всё более чем печально.<br>