Вопрос или проблема
Внутри Virtual Box работает Oracle Linux, который работает на Windows 11 Home.
Нужна помощь в понимании:
Есть ли шанс, что один из них, как видно, является атакой методом перебора. Но так как IPv6 в вопросе, кажется, пришел от маршрутизатора, может быть, что основная система была взломана?
Как смягчить эту ситуацию.
Каковы могут быть точки доступа – по крайней мере, способы их нахождения.
Если могут быть какие-либо задние двери, как их найти.
Сразу после установки Oracle Linux я замечаю много неудачных попыток входа для пользователя root.
Путь к файлу журнала:/var/log/secure
IP по вопросу: fe80::e20e:e4ff:fe26:d5a6
Nov 9 18:26:44 OracleLinux polkitd[1038]: Загрузка правил из директории /etc/polkit-1/rules.d
Nov 9 18:26:44 OracleLinux polkitd[1038]: Загрузка правил из директории /usr/share/polkit-1/rules.d
Nov 9 18:26:44 OracleLinux polkitd[1038]: Завершена загрузка, компиляция и выполнение 5 правил
Nov 9 18:26:44 OracleLinux polkitd[1038]: Получено имя org.freedesktop.PolicyKit1 на системной шине
Nov 9 18:26:45 OracleLinux unix_chkpwd[1088]: проверка пароля не удалась для пользователя (root)
Nov 9 18:26:45 OracleLinux sshd[1057]: pam_unix(sshd:auth): ошибка аутентификации; logname= uid=0 euid=0 tty=ssh ruser= rhost=fe80::e20e:e4ff:fe26:d5a6%enp0s8 user=root
Nov 9 18:26:46 OracleLinux unix_chkpwd[1358]: проверка пароля не удалась для пользователя (root)
Nov 9 18:26:46 OracleLinux sshd[1261]: pam_unix(sshd:auth): ошибка аутентификации; logname= uid=0 euid=0 tty=ssh ruser= rhost=192.168.29.1 user=root
Nov 9 18:26:47 OracleLinux sshd[1057]: Неверный пароль для root с fe80::e20e:e4ff:fe26:d5a6%enp0s8 port 45545 ssh2
Nov 9 18:27:46 OracleLinux sshd[1261]: Неверный пароль для root с 192.168.29.1 port 43718 ssh2
Nov 9 18:27:47 OracleLinux sshd[1057]: Получено отключение от fe80::e20e:e4ff:fe26:d5a6%enp0s8 port 45545:11: SSH-клиент отключен [preauth]
Nov 9 18:27:47 OracleLinux sshd[1057]: Отключено от аутентифицирующего пользователя root fe80::e20e:e4ff:fe26:d5a6%enp0s8 port 45545 [preauth]
Nov 9 18:27:47 OracleLinux sshd[1579]: Неверный пользователь admin с fe80::e20e:e4ff:fe26:d5a6%enp0s8 port 45547
Nov 9 18:27:47 OracleLinux sshd[1579]: pam_unix(sshd:auth): проверьте пароль; пользователь не известен
Nov 9 18:27:47 OracleLinux sshd[1579]: pam_unix(sshd:auth): ошибка аутентификации; logname= uid=0 euid=0 tty=ssh ruser= rhost=fe80::e20e:e4ff:fe26:d5a6%enp0s8
Nov 9 18:27:48 OracleLinux sshd[1261]: Получено отключение от 192.168.29.1 port 43718:11: SSH-клиент отключен [preauth]
Nov 9 18:27:48 OracleLinux sshd[1261]: Отключено от аутентифицирующего пользователя root 192.168.29.1 port 43718 [preauth]
Nov 9 18:27:48 OracleLinux sshd[1584]: Неверный пользователь admin с 192.168.29.1 port 43720
Nov 9 18:27:48 OracleLinux sshd[1584]: pam_unix(sshd:auth): проверьте пароль; пользователь не известен
Nov 9 18:27:48 OracleLinux sshd[1584]: pam_unix(sshd:auth): ошибка аутентификации; logname= uid=0 euid=0 tty=ssh ruser= rhost=192.168.29.1
Nov 9 18:27:50 OracleLinux sshd[1579]: Неверный пароль для недопустимого пользователя admin с fe80::e20e:e4ff:fe26:d5a6%enp0s8 port 45547 ssh2
Nov 9 18:27:51 OracleLinux systemd[1590]: pam_unix(systemd-user:session): сессия открыта для пользователя devoracleuser(uid=1000) пользователем devoracleuser(uid=0)
Nov 9 18:27:51 OracleLinux sshd[1584]: Неверный пароль для недопустимого пользователя admin с 192.168.29.1 port 43720 ssh2
Nov 9 18:27:51 OracleLinux login[836]: pam_unix(login:session): сессия открыта для пользователя devoracleuser(uid=1000) пользователем devoracleuser(uid=0)
Nov 9 18:27:51 OracleLinux login[836]: ВХОД НА tty1 ОТ devoracleuser
Nov 9 18:27:51 OracleLinux sshd[1584]: Получено отключение от 192.168.29.1 port 43720:11: SSH-клиент отключен [preauth]
Nov 9 18:27:51 OracleLinux sshd[1584]: Отключено от недопустимого пользователя admin 192.168.29.1 port 43720 [preauth]
Nov 9 18:27:51 OracleLinux unix_chkpwd[1630]: проверка пароля не удалась для пользователя (root)
Nov 9 18:27:51 OracleLinux sshd[1628]: pam_unix(sshd:auth): ошибка аутентификации; logname= uid=0 euid=0 tty=ssh ruser= rhost=192.168.29.1 user=root
Nov 9 18:27:53 OracleLinux sshd[1579]: Получено отключение от fe80::e20e:e4ff:fe26:d5a6%enp0s8 port 45547:11: SSH-клиент отключен [preauth]
Nov 9 18:27:53 OracleLinux sshd[1579]: Отключено от недопустимого пользователя admin fe80::e20e:e4ff:fe26:d5a6%enp0s8 port 45547 [preauth]
Nov 9 18:27:53 OracleLinux unix_chkpwd[1633]: проверка пароля не удалась для пользователя (root)
Nov 9 18:27:53 OracleLinux sshd[1631]: pam_unix(sshd:auth): ошибка аутентификации; logname= uid=0 euid=0 tty=ssh ruser= rhost=fe80::e20e:e4ff:fe26:d5a6%enp0s8 user=root
Nov 9 18:27:54 OracleLinux sshd[1628]: Неверный пароль для root с 192.168.29.1 port 43721 ssh2
Nov 9 18:27:55 OracleLinux sshd[1631]: Неверный пароль для root с fe80::e20e:e4ff:fe26:d5a6%enp0s8 port 45550 ssh2
Nov 9 18:27:56 OracleLinux sshd[1628]: Получено отключение от 192.168.29.1 port 43721:11: SSH-клиент отключен [preauth]
Nov 9 18:27:56 OracleLinux sshd[1628]: Отключено от аутентифицирующего пользователя root 192.168.29.1 port 43721 [preauth]
Nov 9 18:27:57 OracleLinux sshd[1631]: Получено отключение от fe80::e20e:e4ff:fe26:d5a6%enp0s8 port 45550:11: SSH-клиент отключен [preauth]
Nov 9 18:27:57 OracleLinux sshd[1631]: Отключено от аутентифицирующего пользователя root fe80::e20e:e4ff:fe26:d5a6%enp0s8 port 45550 [preauth]
Nov 9 18:28:57 OracleLinux sshd[1639]: Неверный пользователь 888888 с 192.168.29.1 port 43725
Nov 9 18:28:57 OracleLinux sshd[1639]: pam_unix(sshd:auth): проверьте пароль; пользователь не известен
Nov 9 18:28:57 OracleLinux sshd[1639]: pam_unix(sshd:auth): ошибка аутентификации; logname= uid=0 euid=0 tty=ssh ruser= rhost=192.168.29.1
Nov 9 18:28:58 OracleLinux sshd[1641]: Неверный пользователь 888888 с fe80::e20e:e4ff:fe26:d5a6%enp0s8 port 45554
Записи Wireshark с того же IP на следующий день:
Есть ли шанс, что мои системы скомпрометированы?
Это нормально даже на безголовых виртуальных машинах пытаться использовать самый легкий способ взлома, распространенный среди хакеров. Большинство пользователей SSH в первый раз забывают защитить вход для пользователя root в любой версии Linux через SSH. Если не указать PermitRootLogin в конфигурационном файле, это не подразумевает, что он установлен на no. По умолчанию стоит yes. Всегда лучше указать опцию и установить ее.
Отключение входа для root предотвращает тестирование на проникновение хакерами. Судя по журналам, похоже, что именно это и происходит с автором вопроса. Отключив доступ к root, мы предотвратили атаки из Интернета. Чтобы рассмотреть возможность дальнейшей защиты, посмотрите на AllowUsers также в странице man.
Проверьте журналы в течение следующих нескольких дней, и количество атак должно уменьшиться. Если этого не произойдет, другие виды атак больше не будут скрыты за неудачами входа для root.
Дополнительная информация
После ответа и дополнительного размышления над комментарием тердона ниже, я решил исследовать:
- 86 Запрос на соседство – см. Протокол обнаружения соседей – Функциональный тип 135
- 62 Запрос маршрутизатора – см. снова Протокол обнаружения соседей – Функциональный тип 134. Также см.: ICMP Протокол обнаружения маршрутизатора. Это версия IPv4 Протокола обнаружения соседей.
- Сопутствующие RFC: 4861 и 4862.
Хотя эти сообщения теперь можно считать безвредными, поскольку мы выяснили, что это такое, я считаю, что дальнейшее исследование журналов здесь оправдано, так как запросы происходят с довольно высокой частотой. Следующие вещи, которые я бы проверил:
- Журналы (те же самые, которые опубликовал автор), после закрытия уязвимости SSH.
- Настройки маршрутизатора IPv6. Запросы можно было бы понизить. Если они понижены, но все равно происходят позже, на основе пункта #1 это может указывать на распределенную атаку типа “отказ в обслуживании”.
- Инструмент для поиска MAC-адресов. Поскольку автор предоставил скриншот WireShark, вот их версия инструмента: инструмент Wireshark OUI. Чтобы использовать: Вставьте MAC-адреса в конце колонки Info из скриншота, нажмите Найти. Убедитесь, что полученный производитель соответствует сетевым картам в компьютерах внутри ЛВС.
Вряд ли это попытка взлома извне, а VirtualBox пытается установить свои расширения в гостевую VM. Ознакомьтесь с https://www.virtualbox.org/manual/ch04.html или с вашей локальной документацией VirtualBox. Прошло много времени с тех пор, как я использовал VirtualBox, поэтому не могу дать более подробную помощь.
Ответ или решение
Анализ ситуации с безопасностью Linux в VirtualBox и базовой системой Windows
Введение
Ситуация, описанная вами, вызывает серьезные опасения по поводу безопасности как виртуальной машины с Oracle Linux, так и основной системы на Windows 11. Необходимо проанализировать, является ли это попытками взлома виртуальной машины или основной системы, и определить возможные меры по устранению угроз.
Оценка угрозы
На основании представленных вами логов можно предположить, что ваша виртуальная машина действительно подвергается попыткам несанкционированного доступа. Многочисленные события с неудачными попытками входа под учетной записью root указывают на наличие автоматизированных атак, возможно, с использованием метода брутфорса.
Однако также необходимо учитывать, что:
-
IP-адрес –
fe80::e20e:e4ff:fe26:d5a6это адрес IPv6, принадлежащий вашей локальной сети. Существует вероятность, что попытки входа происходят от устройства в вашей сети, а не через интернет. -
Частота атак – если попытки доступа происходят с высокой частотой, это может свидетельствовать о систематическом сканировании вашей сети или атаке на несколько устройств одновременно.
-
Возможные уязвимости – Ваша виртуальная машина, вероятно, использует стандартные настройки SSH, что может сделать ее уязвимой. Как вы правильно отметили, многие пользователи не отключают возможность входа под
root, что облегчает задачу злоумышленникам.
Потенциальные уязвимости и точки входа
Для оценки возможных точек входа следует рассмотреть следующие аспекты:
-
Настройки SSH: Проверьте файл конфигурации SSH (обычно
/etc/ssh/sshd_config). Важно убедиться, что параметрPermitRootLoginустановлен вno, а также обдумать использованиеAllowUsersдля ограничения возможности входа. -
Меры безопасности Windows: Необходимо убедиться, что ваша основная система также защищена от возможных атак. Проверьте наличие антивируса и брандмауэра, а также проанализируйте журналы безопасности на предмет аномальной активности.
-
Обновления и патчи: Убедитесь, что и Windows, и Oracle Linux обновлены последними версиями и патчами. Многие уязвимости исправляются в обновлениях.
-
Сетевые настройки VirtualBox: Рассмотрите настройки сети вашей виртуальной машины. Возможно, у вас открыт доступ к SSH из внешней сети. Это может быть легко исправлено настройками NAT или бриджирования в VirtualBox.
Поиск скрытых уязвимостей
Для анализа наличия скрытых уязвимостей или бэкдоров, вы можете использовать следующие инструменты:
-
Анализ журнала: Продолжайте мониторить файл
/var/log/secure. Отслеживайте непонятные записи и частоту открытых соединений. -
Использование утилит безопасности: Инструменты, такие как
chkrootkit,rkhunterиLynis, могут помочь в обнаружении руткитов и других уязвимостей. -
Сетевой анализ: Воспользуйтесь Wireshark для анализа сетевых пакетов. Обратите внимание на аномальные подключения и странный трафик.
-
Настройка правил брандмауэра: Используйте
iptablesдля ограничения вхождения и выхода трафика. Вы можете блокировать ненужные порты и IP-адреса, с которых происходят попытки доступа.
Заключение
Ваша виртуальная машина и основная система могут быть под угрозой в зависимости от конфигурации и мер безопасности. Важно обеспечить настройки безопасности на обоих системах и продолжить мониторинг активности.
Рекомендуется как можно скорее выполнить все предложенные меры по безопасности, обновить все компоненты системы и провести тщательный аудит настроек как Oracle Linux, так и Windows. Это поможет минимизировать риски и защитить ваши данные в будущем.