各位大佬， Linux 帐号使用/sbin/nologin 还被人 ssh 连接成功，主机是被入侵了吗？

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

已注册用户请登录

这是一个创建于 2979 天前的主题，其中的信息可能已经有所发展或是发生改变。

有一台 CentOS 6 主机，有配置一个 production 的帐号，默认登入 shell 是 /sbin/nologin 此帐号通过 ftp 上传下载档案
production:x:508:508::/home/production:/sbin/nologin

今日警察通知有人通过此主机盗刷信用卡，还提供了远程连接 IP，检查 /var/log/secure 日志，发现有人远程登入此帐号几次（同一分钟内）只有两行日志，重复了几次
Accepted password for production from yyy.yyy.yyy.yyy port 41399 ssh2
pam_unix(sshd:session): session opened for user production by (uid=0)

我测试 ssh production@ip 输入密码，/var/log/secure 日志提示如下，看起来不能 ssh 连接成功(下面多了两行信息）
Accepted password for production from xxx.xxx.xxx.xxx port 58670 ssh2
pam_unix(sshd:session): session opened for user production by (uid=0)
Received disconnect from xxx.xxx.xxx.xxx: 11: disconnected by user
pam_unix(sshd:session): session closed for user production

目前已经修改了 production 帐号密码
各位大佬，这种情况有什么检测主机是否被入侵的方法吗？越详细越好，谢谢！

8 条回复 2017-10-06 02:04:54 +08:00

flynaj

2017-10-05 17:59:34 +08:00

可能他没用 shell 只是用了 IP 转发！相当于当做代理服务器来用！

Beebird

2017-10-05 18:22:55 +08:00

比如对方这样就无需 login shell 但可以通过你的 server 转发到 amazon：
ssh -fNT -L9443:54.239.25.192:443 production@<server ip>
本地浏览器 https://localhost:9443

coolwind

2017-10-05 19:04:49 +08:00

@flynaj 看起来是这样，没用 shell
@Beebird 确实是这样，通过您提供的 ssh 转发，日志里只有两条（有用到 login shell)，虽然 https://localhost:9443 跳到了 amazon 网站
Accepted password for production from yyy.yyy.yyy.yyy port 41399 ssh2
pam_unix(sshd:session): session opened for user production by (uid=0)

coolwind

2017-10-05 19:06:53 +08:00

@Beebird
@flynaj

假如帐号密码泄漏，有什么办法可以阻止当作代理服务器来用吗？

GG668v26Fd55CP5W

2017-10-05 19:07:36 +08:00 via iPhone

先禁用 ssh 转发吧

coolwind

2017-10-05 19:20:12 +08:00

@Beebird 这样能提供 socks5 代理（看起来泄漏密码后）
ssh -fN -D 127.0.0.1:9433 production@ip

@falcon05 是！

感谢以上所有大大，感恩感恩！

lekai63

2017-10-05 21:36:11 +08:00 via iPhone

问下 vps 已禁用密码登陆也禁了 root 登陆
日常使用只通过普通账户私登陆，权限通过 sudo 执行
如此这般是否可规避楼上被 ssh 端口映射的风险（不考虑私泄露、服务器应用程序漏洞及 0day 等情况）

flynaj

2017-10-06 02:04:54 +08:00 via Android

@lekai63 可以配置禁止转发