Mam urządzenie CentOS 5.x działające na platformie VPS. Mój host VPS źle zinterpretował moje zapytanie dotyczące pomocy technicznej dotyczące łączności i skutecznie opróżnił niektóre reguły iptables. Spowodowało to nasłuchiwanie ssh na standardowym porcie i potwierdzenie testów łączności portów. Denerwujący.
Dobra wiadomość jest taka, że potrzebuję kluczy autoryzowanych przez SSH. O ile mi wiadomo, nie sądzę, aby miało miejsce jakiekolwiek udane naruszenie. Nadal jestem bardzo zaniepokojony tym, co widzę w / var / log / secure:
Apr 10 06:39:27 echo sshd[22297]: reverse mapping checking getaddrinfo for 222-237-78-139.tongkni.co.kr failed - POSSIBLE BREAK-IN ATTEMPT!
Apr 10 13:39:27 echo sshd[22298]: Received disconnect from 222.237.78.139: 11: Bye Bye
Apr 10 06:39:31 echo sshd[22324]: Invalid user edu1 from 222.237.78.139
Apr 10 06:39:31 echo sshd[22324]: reverse mapping checking getaddrinfo for 222-237-78-139.tongkni.co.kr failed - POSSIBLE BREAK-IN ATTEMPT!
Apr 10 13:39:31 echo sshd[22330]: input_userauth_request: invalid user edu1
Apr 10 13:39:31 echo sshd[22330]: Received disconnect from 222.237.78.139: 11: Bye Bye
Apr 10 06:39:35 echo sshd[22336]: Invalid user test1 from 222.237.78.139
Apr 10 06:39:35 echo sshd[22336]: reverse mapping checking getaddrinfo for 222-237-78-139.tongkni.co.kr failed - POSSIBLE BREAK-IN ATTEMPT!
Apr 10 13:39:35 echo sshd[22338]: input_userauth_request: invalid user test1
Apr 10 13:39:35 echo sshd[22338]: Received disconnect from 222.237.78.139: 11: Bye Bye
Apr 10 06:39:39 echo sshd[22377]: Invalid user test from 222.237.78.139
Apr 10 06:39:39 echo sshd[22377]: reverse mapping checking getaddrinfo for 222-237-78-139.tongkni.co.kr failed - POSSIBLE BREAK-IN ATTEMPT!
Apr 10 13:39:39 echo sshd[22378]: input_userauth_request: invalid user test
Apr 10 13:39:39 echo sshd[22378]: Received disconnect from 222.237.78.139: 11: Bye Bye
Co dokładnie oznacza „MOŻLIWA PODEJŚCIE DO PRZERWANIA”? Że się udało? A może nie podoba się adres IP, z którego pochodzi żądanie?
.rhosts
lub.shosts
uwierzytelniających (nigdy tego nie widziałem). Skanowanie się dzieje, ale nie o to chodzi w tym komunikacie (chociaż każde połączenie może go wyzwolić) (W przypadku skanów lepiej szukać komunikatów o nieudanym uwierzytelnieniu / nieznanym użytkowniku)Część „MOŻLIWE PODEJŚCIE DO PRZERWANIA” jest szczególnie związana z częścią „sprawdzanie odwrotnego odwzorowania getaddrinfo nie powiodło się”. Oznacza to, że osoba, która się łączyła, nie skonfigurowała poprawnie przekazywania i odwrotnego DNS. Jest to dość powszechne, szczególnie w przypadku połączeń ISP, skąd prawdopodobnie pochodzi „atak”.
Osoba niepowiązana z komunikatem „MOŻLIWE PODEJŚCIE DO PRZERWANIA” faktycznie próbuje włamać się, używając wspólnych nazw użytkowników i haseł. Nie używaj prostych haseł do SSH; w rzeczywistości najlepszym pomysłem jest całkowite wyłączenie haseł i używanie tylko kluczy SSH.
źródło
Oznacza to, że właściciel netblock nie zaktualizował rekordu PTR dla statycznego adresu IP w swoim zakresie, i powiedział, że rekord PTR jest nieaktualny, LUB dostawca usług internetowych nie skonfiguruje odpowiednich rekordów zwrotnych dla swoich klientów dynamicznego adresu IP. Jest to bardzo powszechne, nawet w przypadku dużych dostawców usług internetowych.
W końcu dostajesz msg do twojego dziennika, ponieważ ktoś pochodzący z adresu IP z niewłaściwymi rekordami PTR (z jednego z powyższych powodów) próbuje użyć wspólnych nazw użytkowników, aby wypróbować SSH na twoim serwerze (prawdopodobnie atak bruteforce, a może uczciwy błąd) ).
Aby wyłączyć te alerty, masz dwie możliwości:
1) Jeśli masz statyczny adres IP , dodaj odwrotne mapowanie do pliku / etc / hosts (zobacz więcej informacji tutaj ):
2) Jeśli masz dynamiczny adres IP i naprawdę chcesz, aby te alerty zniknęły, skomentuj „GSSAPIAuthentication yes” w pliku / etc / ssh / sshd_config.
źródło
GSSAPIAuthentication
nie pomaga w moim przypadku (UseDNS no
to prawdopodobnie lepsze ustawienie, aby się go pozbyć (i powolnych logowań, gdy serwer ma problemy z DNS ...)Możesz ułatwić czytanie i sprawdzanie dzienników poprzez wyłączenie wyszukiwania wstecznego w sshd_config (UseDNS no). Zapobiegnie to rejestrowaniu przez sshd linii „szumu” zawierających „MOŻLIWĄ PRÓBĘ PRZERWANIA”, pozwalając ci skoncentrować się na nieco bardziej interesujących liniach zawierających „Nieprawidłowy użytkownik USER z adresu IPADDRESS”.
źródło
logcheck
mnie denerwować bezwartościowymi raportami e-mail.UseDNS
jest (zły pomysł).rhosts
i.shosts
uwierzytelnianie (HostbasedAuthentication
). (OrazFrom
opcja dopasowania w konfiguracji SSHD i uprawnionych kluczach) (Istnieje jednak osobne ustawienie,HostbasedUsesNameFromPacketOnly
które może być potrzebne do przełączania wyszukiwania wstecznego dla uwierzytelniania opartego na hostach, gorszy pomysł niż przy użyciu uwierzytelniania opartego na hostach ...)Nie jest konieczne pomyślne logowanie, ale to, co mówi „możliwe” i „próba”.
Jakiś zły chłopiec lub skrypty dzieciak, wysyła ci spreparowany ruch z fałszywym adresem IP pochodzenia.
Możesz dodać ograniczenia adresu IP pochodzenia do kluczy SSH i spróbować czegoś takiego jak fail2ban.
źródło