Проблема

В каталоге /var/log/astra присутствует множество файлов, которые содержат попытки входа системных пользователей, например unix, web, www. Зачем данные пользователи массово авторизуются?

Диагностика

  • В диагностическом файле /var/log/auth.log присутствуют записи вида:
    Dec  8 17:30:11 dc01 sshd[1966363]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=10.10.10.10
Dec  8 17:30:11 dc01 sshd[1966363]: pam_sss(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=10.10.10.10 user=r00t
Dec  8 17:30:11 dc01 sshd[1966363]: pam_sss(sshd:auth): received for user ftp: 10 (User not known to the underlying authentication module)
Dec  8 17:30:11 dc01 sshd[1966364]: pam_unix(sshd:auth): check pass; user unknown
Dec  8 17:30:12 dc01 sshd[1966364]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=10.10.10.10
Dec  8 17:30:12 dc01 sshd[1966364]: pam_sss(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=10.10.10.10 user=D090D0B4D0BCD0B8D0BDD0B8D181D182D180D0B0D182D0BED180
    CODE
    Проанализировав записи, можно выявить следующее:
    • Все попытки подключения происходят с IP-адреса 10.10.10.10.
    • Подключения осуществляются по протоколу SSH с регулярным интервалом раз в секунду, что указывает на автоматизированный характер запросов.
  • В каталоге /var/log/astra присутствует множество файлов, которые содержат попытки входа системных пользователей, включая:
    root            admin            lynx                Administrator
mail            ADMINISTRATOR    server              toor
adm_adm         master           service             adm
me              astra            Astra1234!!!        mountsys
organizator     sys              sysadm              user
system_admin    unix             web                 www
backup          postgres         guest               r00t
ftp             rabbitmq         operator            sysadmin
qwe             test_user*       D093D0BED181D18C    D090D0B4D0BCD0B8D0BDD0B8D181D182D180D0B0D182D0BED180
    CODE

    Учетные записи вида unixwebwww и подобные не относятся к системным. Системные записи в Linux:

    • не имеют заданного пароля;
    • имеют запрет на вход в систему.

    Строки вида D090D0B4... и D093D0BE... представляют собой HEX-представление UTF-8-кодировки кириллических символов. После декодирования получится следующее:

    D090D0B4D0BCD0B8D0BDD0B8D181D182D180D0B0D182D0BED180 → Администратор 
D093D0BED181D182D18C → Гость
    CODE

    Эти имена характерны для операционных систем семейства Windows.

Возможная причина: Автоматизированная brute-force атака. Перейти к решению.

Возможные причины