Автоматизированная brute-force атака

Статья является возможным решением инцидента Высокое количество неудачных попыток входа в систему

Окружение

Диагностика

В диагностическом файле /var/log/auth.log присутствуют записи вида:

Dec  8 17:30:11 dc01 sshd[1966363]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=10.10.10.10
Dec  8 17:30:11 dc01 sshd[1966363]: pam_sss(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=10.10.10.10 user=r00t
Dec  8 17:30:11 dc01 sshd[1966363]: pam_sss(sshd:auth): received for user ftp: 10 (User not known to the underlying authentication module)
Dec  8 17:30:11 dc01 sshd[1966364]: pam_unix(sshd:auth): check pass; user unknown
Dec  8 17:30:12 dc01 sshd[1966364]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=10.10.10.10
Dec  8 17:30:12 dc01 sshd[1966364]: pam_sss(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=10.10.10.10 user=D090D0B4D0BCD0B8D0BDD0B8D181D182D180D0B0D182D0BED180

CODE

Проанализировав записи, можно выявить следующее:

Все попытки подключения происходят с IP-адреса 10.10.10.10.
Подключения осуществляются по протоколу SSH с регулярным интервалом раз в секунду, что указывает на автоматизированный характер запросов.

В каталоге /var/log/astra присутствует множество файлов, которые содержат попытки входа системных пользователей, включая:
```
root            admin            lynx                Administrator
mail            ADMINISTRATOR    server              toor
adm_adm         master           service             adm
me              astra            Astra1234!!!        mountsys
organizator     sys              sysadm              user
system_admin    unix             web                 www
backup          postgres         guest               r00t
ftp             rabbitmq         operator            sysadmin
qwe             test_user*       D093D0BED181D18C    D090D0B4D0BCD0B8D0BDD0B8D181D182D180D0B0D182D0BED180
```
CODE
Учетные записи вида unix, web, www и подобные не относятся к системным. Системные записи в Linux:
- не имеют заданного пароля;
- имеют запрет на вход в систему.
Строки вида D090D0B4... и D093D0BE... представляют собой HEX-представление UTF-8-кодировки кириллических символов. После декодирования получится следующее:
```
D090D0B4D0BCD0B8D0BDD0B8D181D182D180D0B0D182D0BED180 → Администратор 
D093D0BED181D182D18C → Гость
```
CODE
Эти имена характерны для операционных систем семейства Windows.

Решение

Ответ доступен с подключенной услугой «Техническая поддержка».

Ознакомиться с услугой

Перейти к авторизации

Внимание! Для авторизации используйте учетные данные Личного кабинета

Если учетная запись от новой версии личного кабинета отсутствует, просим писать на почту lk@astralinux.ru

В диагностическом файле /var/log/auth.log присутствуют записи вида:

Dec  8 17:30:11 dc01 sshd[1966363]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=10.10.10.10
Dec  8 17:30:11 dc01 sshd[1966363]: pam_sss(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=10.10.10.10 user=r00t
Dec  8 17:30:11 dc01 sshd[1966363]: pam_sss(sshd:auth): received for user ftp: 10 (User not known to the underlying authentication module)
Dec  8 17:30:11 dc01 sshd[1966364]: pam_unix(sshd:auth): check pass; user unknown
Dec  8 17:30:12 dc01 sshd[1966364]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=10.10.10.10
Dec  8 17:30:12 dc01 sshd[1966364]: pam_sss(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=10.10.10.10 user=D090D0B4D0BCD0B8D0BDD0B8D181D182D180D0B0D182D0BED180

CODE

Проанализировав записи, можно выявить следующее:

Все попытки подключения происходят с IP-адреса 10.10.10.10.
Подключения осуществляются по протоколу SSH с регулярным интервалом раз в секунду, что указывает на автоматизированный характер запросов.

В каталоге /var/log/astra присутствует множество файлов, которые содержат попытки входа системных пользователей, включая:
```
root            admin            lynx                Administrator
mail            ADMINISTRATOR    server              toor
adm_adm         master           service             adm
me              astra            Astra1234!!!        mountsys
organizator     sys              sysadm              user
system_admin    unix             web                 www
backup          postgres         guest               r00t
ftp             rabbitmq         operator            sysadmin
qwe             test_user*       D093D0BED181D18C    D090D0B4D0BCD0B8D0BDD0B8D181D182D180D0B0D182D0BED180
```
CODE
Учетные записи вида unix, web, www и подобные не относятся к системным. Системные записи в Linux:
- не имеют заданного пароля;
- имеют запрет на вход в систему.
Строки вида D090D0B4... и D093D0BE... представляют собой HEX-представление UTF-8-кодировки кириллических символов. После декодирования получится следующее:
```
D090D0B4D0BCD0B8D0BDD0B8D181D182D180D0B0D182D0BED180 → Администратор 
D093D0BED181D182D18C → Гость
```
CODE
Эти имена характерны для операционных систем семейства Windows.

Возможная причина: Автоматизированная brute-force атака. Перейти к решению.