Dotaz: Jedna se o hack/kompromitaci systemu ?

Zdravim, jsem zacatecnik, nainstaloval jsem Debian Sarge + vsechny bezpecnostni updaty. Pote zmenil /etc/apt/sources.list na testing a pomoci apt-get update && apt-get -u dist-upgrade upgradoval na testing. Pri instalaci jsem v taskselu nevybral zadnou volbu, takze system je predpokladam uplne 'holy' . Doinstaloval jen vim mc, zadne dalsi sitove sluzby, Exim pouze lokalne ( posloucha jen na loopbacku ).

Je to stare pc na kterem jsem se chtel ucit, takze zadny produkcni/dulezity server. Jadro je stanadardni distribucni. Nemam nasteven firewall pomoci iptables ( jeste tomu tolik nerozumim ) a je to pripojeno k internetu. Po nekolika dnech ( kdy jsem to nechal lezet ladem pro nedostatek casu ) jsem nasel v /var/log/auth.log tyto zaznamy:

sshd[8308]: Invalid user pavel from 213.167.118.130 samozrejme opakovano pro mraky jmen. - tomu se da, pokud se nepletu zabranit pomoci iptables povolenim pouze adres ze kterych se budu chtit prihlasit.

druhy zaznam ponekud nechapu, znamena to, ze se nakonec nekdo dovnitr dostal ? ( v /etc/passwd ani nikde jinde kde jsem hledal jsem nic podezreleho nenasel, ale opakuji - jsem zacatecnik a moc do toho nevidim )

Feb 15 06:25:03 su[8430]: Successful su for nobody by root Feb 15 06:25:05 su[8430]: + ??? root:nobody

Feb 15 06:25:06 su[8430]: (pam_unix) session opened for user nobody by (uid=0)

Feb 15 06:25:06 su[8430]: (pam_unix) session closed for user nobody

Feb 15 06:25:06 su[8432]: Successful su for nobody by root Feb 15 06:25:06 su[8432]: + ??? root:nobody

Feb 15 06:25:07 su[8432]: (pam_unix) session opened for user nobody by (uid=0)

Feb 15 06:25:07 su[8432]: (pam_unix) session closed for user nobody

Feb 15 06:25:07 su[8434]: Successful su for nobody by root

Poradite co to znamena ? Jak se tomu branit ? Co kdyz budu chtit provozovat napr. apache , tedy neco co by z principu melo byt pristupne vsem - prece nemuzu na firewallu vse uplne odriznout. Ani netusim jak by se dovnitr utocnik dostal, jedine pres sshd ktere bezi. Nic jineho. Ma tedy Debiani sshd nejakou bezpecnostni diru, ktera jeste nebyla odhalena ? ( to nepredpokladam )

Diky za rady AitD

Jestli dobře chápu tu hlášku, tak naopak uživatel root použil su, aby se přepnul na nobody, což může docela klidně provádět nějaký skript spouštěný buď automaticky při startu nebo z cronu.

no jak tak projíždím svůj /var/log/auth.log tak bych řekl, že útoky se dotknou asi každého. U mě teda žádný sérióvý útok nebyl, jen pár ťuknutí do ssh atd. Ale myslím, že správně nastavené iptables + povolené jen ty služby co mají být, by mělo být správné řešení. Btw, takový už j internet..

Toto se netykalo ssh demona. Pred hranatymi uvozovkami je vzdy uvedena sluzba/demon/program u ktereho byla autorizace provedena. Pokud by se nekdo prihlasil pres ssh, bude tak uvedeno v logu, ze k sshd se pripojil uzivatel ten a ten z urcite ip adresy.
Zde se jedna o program su, ktery je volan nejakou bezici sluzbou, takze se nemusite niceho znepokojovat.

Diky vsem. Je toho tolik co se naucit a tak malo casu

Diky a preju pekny den bez hacku