6. Loki tietojen analysointi

ELK-Stack palvelin

SSH yrityksien lokien keräys ulko verkosta

Ensin laitoin ELK palvelimen turvalliseksi poistamalla root käyttäjän kirjautumisen SSHn konfiguraation kansiosta /etc/ssh/ ja tiedostosta sshd_config vaihdoin PermitRootLogin yes –> PermitRootLogin no, ettei rootilla pääse kirjautumaan SSH kautta. Lukitsin vielä root käyttäjän komennolla “sudo usermod –lock root“.

Suljin varmuuden vuoksi kaikki ulkopuolelta käyttämättömät portit UFW:ssä komennoilla “sudo ufw deny 9200/tcp” ja “sudo ufw deny 80/tcp“. Portissa 9200 oli local verkossa toimiva ElasticSearch, joka ei hae tietoja verkon ulkopuolelta, portissa 80 oli uudelleen reititys porttiin 443 eli HTTPS Kibana:n sivulle. Porttin 80 ei tarvitse olla auki, jos muistaa, että oma sivu joka toimii local verkossa on https:// alkuinen.

Kun koin SSHlle reitityksen tarpeeksi turvalliseksi, laitoin kodin public osoiteesta reitittimen NAT-asetuksiin portin uudelleenohjauksen ELK palvelimen osoiteeseen 192.168.10.64 porttiin 22 eli SSH portiin.

 

SSH lokeja

Time system.auth.ssh.event  system.auth.ssh.method  user.name   source.ip   source.geo.country_iso_code
Oct 30, 2019 @ 12:18:00.000 Failed  password    root        112.XX.XX.XXX   CN
Oct 30, 2019 @ 12:17:58.000 Failed  password    root        112.XX.XX.XXX   CN
Oct 30, 2019 @ 12:17:46.000 Failed  password    admin       92.XX.XXX.XXX   RU
Oct 30, 2019 @ 12:17:44.000 Invalid  -          admin       92.XX.XXX.XX    RU
Oct 30, 2019 @ 12:17:13.000 Failed  password    root        112.XX.XX.XXX   CN

Lokeista näkyy yrityksen ajan kohta, onnistuiko yritys, yrityksen käyttäjä, yrityksen tekijän IP-osoite ja geograafinen koodi.

Sys lokeja

ELK- stack kerää myös system lokeja alla esimerkki top6 palvelimella suoritetuista sudo komennoista.

system.auth.sudo.command            user.name   Count 
sudoedit elasticsearch-output.conf  joni        4
sudoedit sshd_config                joni        3
/bin/systemctl restart ssh          joni        2
/usr/bin/apt-get install pwgen      joni        2
/usr/bin/apt-get purge pwgen        joni        2

Lokeista näkee mikä komento on suoritettu ja kuka komennon on suorittanut tässä tapauksessa palvelimen ainut käyttäjä joni on suorittanut sudo komentoja.

SSH loki keräys viikon ajalta

Jätimme palvelimen keräämään SSH yritys lokeja noin viikon ajaksi ensimmäisellä minuutilla tuli jo 30+ yritystä, omat yritykset pois laskettuna.

Kuva: SSH lokien keräyksen aloitus käyttäjät ja kartta

Noin viikon jälkeen SSH kirjautumis- yrityksiä oli 18.000+ joista 92% tuli Kiinasta 4% Vietnamista..

Kuva: Noin viikko lokien keräystä käyttäjät ja kartta

Aika tehtävässä ELK- Stack palvelin 30.10.2019 kello 09.00 – 13.00

 

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google photo

You are commenting using your Google account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s