System kompromittiert? Unberechtigter User-Login über lokales Systemkonto.

Hallo zusammen,

ich betreibe einen Cluster mit zwei Maschinen (CentOS)

An Datum x habe ich eine Änderung am System durchgeführt. Das war vor ca. 2 Wochen. Gerade bin ich wieder auf die Systeme gegangen und dann wurde mir bei der Anmeldung unter "last logged user" ein Rechnername angezeigt, den ich nicht kannte.
Wenn ich nun über den Befehl last | tac mir die Systemzugriffe anzeigen lasse, finde ich folgende Unstimmigkeiten:

An besagtes Datum (wo ich die Konfigurationen durchgeführt habe), finde ich auf beiden Systemen den Zeitstempel für den Login über ein lokales Systemkonto (Passwort Auth). Auf System Nr 1. erfolgte der Zugriff über die FQDN meines Arbeitsplatzrechners (also alles ok), auf System Nr. 2 erfolgte der Zugriff über die FQDN eines Arbeitsplatzrechners eines anderen Mitarbeiters (den ich bis gerade nicht kannte :) ). Wie der Zufall so will handelt es sich hier um ein Consultant, der also oft mit seinem Notebook unterwegs ist.

Des weiteren sieht es für mich so aus, als wurden alle weiteren Zeitstempel auf besagten System manipuliert, denn ich war auf besagten System noch das eine oder andere mal drauf. Auf dem einen System sehe ich das, auf den anderen System sind die Zeitstempel hingegen nicht mehr vorhanden, da ist alles nach dem seltsamen Systemzugriff über den Rechner des Anderen Mitarbeiters abgeschnitten.

Die Command-History ist sauber, hier sehe ich keine Commands die ich nicht abgesetzt hätte.

Jemand eine Idee, was ich mir noch ansehen könnte und wie ich mich nun verhalten soll?
 
Zuletzt bearbeitet:
Die Command-History ist sauber, hier sehe ich keine Commands die ich nicht abgesetzt hätte.

Bei einigen (oder vielen? oder allen?) Shells werden per default Befehle, denen ein Whitespace vorausgeht, nicht mit in die History geschrieben. Verlass dich also nicht darauf.
 
Hallo Xeno,

danke für deine Antwort.
Zunächst: Ich habe weitere Zugriffe entdeckt (verschieden Systeme) durch unterschiedliche Notebooks von Consultants. Der Personenkreis hat zufällig auch mit den gleichen Kunden zu tun.

Bei allen System ist die history "sauber", aber wie du sagst, verlasse ich mich hier nicht drauf. Die weiteren Logins nach den erfolgten Systemzugriffen wurden definitiv weggeräumt und auch die Message-Logs sind auffällig aufgeräumt. Es wirkt alles etwas "abgeschnitten".

Ich habe die Situation schon nach oben hin eskaliert, Betroffene Systeme werden eingesammelt und wir forschen nun genauer.

Au Backe X( ...

Gruß

Yoko
 
Installiere doch einfach mal Snoopy und tracke damit alle User-Aktivitäten. Idealerweise fütterst du die Logs an einen Remote-Logging-Server, so dass sie nicht manipuliert werden können. Ausserdem kannst du auch ein HIDS wie Wazuh/OSSEC mit einem Remote-Master einsetzen um verdächtige Aktivitäten zu tracken.

Nebenher solltest du aber natürlich auch mal prüfen ob alle Systemprogramme noch den Stand haben, den sie laut Paketverwaltung haben sollten ('rpm -V' ist dein Freund). Ggf. auch mal mit rkhunter scannen ob versteckte Prozesse o.ä. vorhanden sind. Nicht vergessen, dass man bei CentOS 'unhide' zusätzlich zu rkhunter installieren muss, wenn man in der Lage sein will mit rkhunter nach versteckten Prozessen zu suchen. Das ist keine automatische Abhängigkeit.

Btw: Wenn der Zugriff über SSH erfolgt, sollte man die Passwort-Authentifizierung deaktivieren und Logins nur via Keyfile zulassen. Das lässt sich nicht so leicht knacken wie ein Passwort. Ausserdem sollte man sicherstellen, dass kein User sudo ohne Passwort ausführen kann, wenn das nicht zwingend notwendig ist.
 
Hallo Bitmuncher,

danke für deine Antwort und schnelle Hilfe.
Wir haben kurzer Hand eine Firma spezalisiert auf IT Sicherheit beauftragt. Besagte Firma analysiert jetzt die Betroffenen VM's und installiert zukünftig in unserem Netzwerk ein IDS, Logging Server etc.

Ich interessiere mich zwar für IT Sicherheit (deshalb bin ich auch hier angemeldet), aber meine Kernkompetenz liegt defintiv in einem Anderen Bereich. Naja, vielleicht lern ich jetzt noch was :D ...

Ein paar Dinge (wie Zertifikat Auth) habe ich derweils schon umgesetzt.
 
Zurück
Oben