Czy ten serwer został zhakowany, czy tylko próby logowania? Zobacz dziennik

13

Czy ktoś może powiedzieć, co to znaczy? Próbowałem lastbzobaczyć polecenie logowania do ostatniego użytkownika i widzę dziwne dane logowania z Chin (serwer to UE, jestem w UE). Zastanawiałem się, czy mogą to być próby logowania lub udane logowanie?

Te wydają się być bardzo stare i zwykle blokuję port 22 tylko dla moich adresów IP, myślę, że miałem port otwarty przez jakiś czas, ostatni dziennik jest w lipcu.

root     ssh:notty    222.92.89.xx     Sat Jul  9 12:26 - 12:26  (00:00)
root     ssh:notty    222.92.89.xx     Sat Jul  9 12:04 - 12:04  (00:00)
oracle   ssh:notty    222.92.89.xx     Sat Jul  9 11:43 - 11:43  (00:00)
gary     ssh:notty    222.92.89.xx     Sat Jul  9 11:22 - 11:22  (00:00)
root     ssh:notty    222.92.89.xx     Sat Jul  9 11:01 - 11:01  (00:00)
gt05     ssh:notty    222.92.89.xx     Sat Jul  9 10:40 - 10:40  (00:00)
admin    ssh:notty    222.92.89.xx     Sat Jul  9 10:18 - 10:18  (00:00)
adrianTNT
źródło
1
Czy widzisz te nazwy wraz z tym adresem IP również w / var / log / auth?
ott--

Odpowiedzi:

16

lastbpokazuje tylko błędy logowania . Użyj, lastaby zobaczyć pomyślne logowanie.

Michael Hampton
źródło
6

Pokazuje osoby próbujące przesyłać lub pobierać treści. Część „notty” oznacza brak tty (gdzie tty jest skrótem dla typu teletekstu), co w dzisiejszych czasach oznacza brak monitora lub GUI, a ssh wskazuje port 22, które razem oznaczają coś w rodzaju scp lub rsync.

Więc nie hakowanie lub próby logowania, ale błędne lub błędne hasła. Być może niektóre treści zostały zlokalizowane za pośrednictwem Google, ale wymagały hasła, które ktoś próbował zgadnąć.

W rzeczywistości, po zastanowieniu, powyższe nie jest właściwe. Mogą się nie udać próby logowania przez ssh, jak podejrzewał pytający; i (jak brakowało mi za pierwszym razem) są w regularnych odstępach 21 lub 22 minut, co sugeruje pewien stopień automatyzacji, ale lastbz definicji pokazuje awarie, więc wyniki te należy porównać z wynikami, lastaby sprawdzić, czy którekolwiek się udały.

ramruma
źródło
3

Zamknij port 22. Skonfiguruj swój sshd, aby nasłuchiwał na innym porcie, i zainstaluj i uruchom denyhosts.

tzakuk
źródło
2

Dlaczego nie używać ostatniego ? Użyj polecenia „last” i poszukaj ips z Chin lub spoza USA.

Poza tym ... człowiek jest twoim przyjacielem

Lastb jest taki sam jak ostatni, z tą różnicą, że domyślnie pokazuje dziennik pliku / var / log / btmp, który zawiera wszystkie próby złego logowania.

3.14
źródło
1

Tak, te wydają się być próbami logowania, ponieważ ten sam adres IP używał wielu nazw użytkowników do próby wpisania. Najprawdopodobniej atak Brute Force.

Aby rozwiązać ten problem:

Zainstaluj Fail2Ban i zablokuj nieudane próby logowania z -1, co powoduje, że ich ban jest trwały.

Dodaj plik więzienia, aby chronić SSH. Utwórz nowy plik za pomocą edytora Nano lub vi, vim

nano /etc/fail2ban/jail.d/sshd.local

Do powyższego pliku dodaj następujące wiersze kodu.

[sshd]

włączone = prawda

port = ssh

„#” akcja = firewallcmd-ipset

logpath =% (sshd_log) s

maxretry = 5

bantime = -1

Greygan
źródło
0

RE: lastb

Wpisy „ssh: notty” / var / log / btmp wskazują na nieudane próby logowania z numeru portu SSH przypisanego w „/ etc / ssh / sshd_config”.

Ze względów bezpieczeństwa port SSH zwykle zmienia się na inny niż „22”. Zatem „ssh” w tym kontekście oznacza jedynie aktualnie przypisany (nie-22) numer portu SSH.

Ponieważ pomyślne uzgadnianie certyfikatu SSH POWINNY być zawsze wymagane, aby przejść do ekranu logowania, wszelkie wpisy dziennika „ssh: notty” prawdopodobnie wynikają z nieudanych prób logowania; zwykle z błędnie wpisanej nazwy użytkownika. Zanotuj adres IP powiązany z wpisem w dzienniku ... prawdopodobnie jest on twój!

„notty” oznacza „no tty”.

Dowiedz się o podstawowych zabezpieczeniach, jak to działa, gdzie są logi i jak je interpretować, gdzie są różne pliki konfiguracyjne i co oznaczają dyrektywy, a także jak konfigurować IPTables, przed skonfigurowaniem i użyciem serwera Linux. Ogranicz logowanie do „statycznego adresu IP” i ogranicz / ponów próbę logowania:

Dyrektywy konfiguracji BASIC SSH, które ograniczają logowanie i zezwalają tylko na logowanie od określonych użytkowników i adresów IP:

LoginGraceTime 30
MaxStartups 3:50:10
MaxAuthTries 4
PermitRootLogin no
AllowUsers YourUserName@YourIPAddress
PubkeyAuthentication yes
AuthorizedKeysFile   %h/.ssh/authorized_keys
PasswordAuthentication no

Nie zapomnij „ponownie uruchomić” usługi SSH po edycji.

PODSTAWOWE reguły IPTables, które zezwalają na połączenia SSH tylko z określonego statycznego adresu IP:

*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW                                 -j DROP
-A INPUT -m state --state INVALID -j DROP
-A INPUT -f -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN FIN,SYN -j DROP
-A INPUT -p tcp -m tcp --tcp-flags SYN,RST SYN,RST -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,RST FIN,RST -j DROP
-A INPUT -p tcp -m tcp --tcp-flags PSH,ACK PSH -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,ACK FIN -j DROP
-A INPUT -p tcp -m tcp --tcp-flags ACK,URG URG -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,PSH,ACK,URG -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,PSH,URG -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,PSH,URG -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,ACK,URG -j DROP
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp -s YourStaticIPAddress -m multiport --dports SSHPortNumber -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
-A INPUT -j DROP
-A FORWARD -j DROP
COMMIT

Nie zapomnij „przywrócić” tabel IP po zmianach.

W sieci LAN lub w „hostowanym” środowisku chmurowym nie zapomnij zabezpieczyć „prywatnej” strony (adaptera sieciowego). Twoi wrogowie często mają już dostęp do twojej sieci i wchodzą tylnymi drzwiami.

Jeśli pracujesz w środowisku chmurowym, takim jak RackSpace lub DigitalOcean, i psujesz konfiguracje i blokujesz się, zawsze możesz wejść do konsoli i to naprawić. ZAWSZE ZRÓB KOPIE PLIKÓW KONFIGURACYJNYCH PRZED EDYCJĄ JEJ !!!

SandPond
źródło