Soru “OLASI BREAK-IN ATTEMPT!” / Var / log / secure - bu ne anlama geliyor?


VPS platformunda çalışan bir CentOS 5.x kutusu var. VPS ana bilgisayarım bağlantı hakkında bir destek sorgusunu yanlış yorumladı ve bazı iptables kurallarını etkin bir şekilde temizledi. Bu, standart bağlantı noktasında dinleme ve bağlantı noktası bağlantı testlerini onaylama ile sonuçlandı. Can sıkıcı.

İyi haber şu ki SSH Yetkili anahtarlarına ihtiyacım var. Anlayabildiğim kadarıyla, başarılı bir ihlal olduğunu düşünmüyorum. Yine de / var / log / secure'de gördüğüm şeyler konusunda hala çok endişeliyim:


Apr 10 06:39:27 echo sshd[22297]: reverse mapping checking getaddrinfo for 222-237-78-139.tongkni.co.kr failed - POSSIBLE BREAK-IN ATTEMPT!
Apr 10 13:39:27 echo sshd[22298]: Received disconnect from 222.237.78.139: 11: Bye Bye
Apr 10 06:39:31 echo sshd[22324]: Invalid user edu1 from 222.237.78.139
Apr 10 06:39:31 echo sshd[22324]: reverse mapping checking getaddrinfo for 222-237-78-139.tongkni.co.kr failed - POSSIBLE BREAK-IN ATTEMPT!
Apr 10 13:39:31 echo sshd[22330]: input_userauth_request: invalid user edu1
Apr 10 13:39:31 echo sshd[22330]: Received disconnect from 222.237.78.139: 11: Bye Bye
Apr 10 06:39:35 echo sshd[22336]: Invalid user test1 from 222.237.78.139
Apr 10 06:39:35 echo sshd[22336]: reverse mapping checking getaddrinfo for 222-237-78-139.tongkni.co.kr failed - POSSIBLE BREAK-IN ATTEMPT!
Apr 10 13:39:35 echo sshd[22338]: input_userauth_request: invalid user test1
Apr 10 13:39:35 echo sshd[22338]: Received disconnect from 222.237.78.139: 11: Bye Bye
Apr 10 06:39:39 echo sshd[22377]: Invalid user test from 222.237.78.139
Apr 10 06:39:39 echo sshd[22377]: reverse mapping checking getaddrinfo for 222-237-78-139.tongkni.co.kr failed - POSSIBLE BREAK-IN ATTEMPT!
Apr 10 13:39:39 echo sshd[22378]: input_userauth_request: invalid user test
Apr 10 13:39:39 echo sshd[22378]: Received disconnect from 222.237.78.139: 11: Bye Bye

"OLASI BREAK-IN ATTEMPT" tam olarak ne anlama geliyor? Bu başarılı oldu mu? Ya da isteğin geldiği IP'den hoşlanmadı mı?


86
2018-04-17 18:17


Menşei




Cevaplar:


Ne yazık ki şimdi bu çok yaygın bir olay. Sisteminize girmeye çalışmak için 'ortak' kullanıcı adlarını kullanan SSH'ye yönelik otomatik bir saldırıdır. Mesaj tam olarak ne ifade ettiği anlamına gelir, sadece birisinin denediği, saldırıya uğradığınız anlamına gelmez.


75
2018-04-17 22:06



Teşekkürler Lain. Bu beni daha iyi hissettiriyor. Ssh için yetkilendirilmiş anahtarlara ihtiyacım olduğu için çok memnunum. =) - Mike B
"Getaddrinfo için haritalama tersine çevirme", kaynak IP / ana makine adı hakkında daha fazla bilgi için hazırlanmıştır. Aynı hazırlanmış trafik kötü kullanıcı adlarını deniyor, ancak kötü kullanıcı adları "OLASI BREAK-IN ATTEMPT" mesajını oluşturmuyor. - poisonbit
@MikeyB: Eklemeye bakmak isteyebilirsiniz fail2ban size sistem. Bu, bu saldırganların IP adreslerini otomatik olarak engellemek için yapılandırılabilir. - Iain
@poisonbit: Doğru, o zaman bir A kaydına çözümlemeyen tersine bir arama olduğu anlamına gelir, ancak bu turda hepsi aynı otomatik saldırıya aittir. - Iain
'Ters haritalama başarısız', kullanıcının ISS'sinin ters DNS'yi doğru şekilde yapılandırmamış olduğu anlamına gelebilir, ki bu oldukça yaygındır. @Gaia'nın yanıtına bakın. - Wilfred Hughes


"OLASI BREAK-IN ATTEMPT" bölümü, "tersine haritalama getaddrinfo başarısız" bölümü ile ilgilidir. Bağlanmakta olan kişinin doğru bir şekilde yapılandırılmış olması ve DNS'in doğru şekilde yapılandırılmaması anlamına gelir. Bu, özellikle "saldırı" nın geldiği ISP bağlantıları için oldukça yaygındır.

"OLASI BREAK-IN ATTEMPT" mesajıyla ilgisiz olan kişi, genel kullanıcı adlarını ve şifrelerini kullanarak kırılmaya çalışmaktadır. SSH için basit şifreler kullanmayın; Aslında şifreleri tamamen devre dışı bırakmak ve sadece SSH anahtarlarını kullanmak için en iyi fikir.


49
2017-10-23 20:16



Bir ISS aracılığıyla bir (geçerli) bağlantı tarafından üretilirse, bu ters eşleme hatasından kurtulmak için / etc / hosts dosyanıza bir girdi ekleyebilirsiniz. Açıkçası, sadece hatanın iyi olduğunu ve günlüklerinizi temizlemek istediğinizi biliyorsanız bunu yapabilirsiniz. - artfulrobot


"Tam olarak ne yapar" OLASI BREAK-IN ATTEMPT "demek?"

Bu, netblock sahibinin kendi aralığı içinde bir statik IP için PTR kaydını güncellemediği ve söz konusu PTR kaydının güncel olmadığı anlamına gelir. VEYA Bir ISS, dinamik IP müşterileri için uygun ters kayıtlar kurmaz. Bu büyük İSS'ler için bile çok yaygındır.

Günlüğünüzde msg alırsınız, çünkü bir IP'den uygunsuz PTR kayıtları olan bir kişi (yukarıdaki nedenlerden dolayı) sunucunuza SSH'yi denemek için ortak kullanıcı adlarını kullanmaya çalışır (muhtemelen bruteforce saldırısı veya belki de dürüst bir hata) ).

Bu uyarıları devre dışı bırakmak için iki seçeneğiniz vardır:

1) Statik IP'niz varsa, ters eşlemenizi / etc / hosts dosyanıza ekleyin (daha fazla bilgi için) İşte):

10.10.10.10 server.remotehost.com

2) Dinamik bir IP'niz varsa ve gerçekten bu uyarıları ortadan kaldırmak istiyoruz, / etc / ssh / sshd_config dosyanızdaki "GSSAPIAuthentication yes" ifadesini yorumlayın.


30
2018-01-12 10:33



yorumlama GSSAPIAuthentication Benim durumumda yardımcı olmaz ( - SET


Günlüklerinizi daha kolay okunabilir ve kontrol edebilirsiniz. ters aramaları kapatma sshd_config (UseDNS no). Bu, sshd'nin "OLASI BREAK-IN ATTEMPT" i içeren "gürültü" satırlarını "IPADDRESS adlı kullanıcıdan geçersiz kullanıcı KULLANICI" içeren daha ilginç satırlara yoğunlaştırmanızı engeller.


13
2018-04-17 18:23



Kamu İnternet'e bağlı bir sunucuda sshd geriye doğru aramaları devre dışı bırakmanın olumsuz tarafı nedir? Bu seçeneği etkinleştirmek için herhangi bir üst seviye var mı? - Eddie
@Eddie sshd tarafından gerçekleştirilen DNS aramalarının herhangi bir yararlı amaca hizmet ettiğini düşünmüyorum. DNS aramalarını devre dışı bırakmak için iki iyi neden var. Aramaları zaman aşımına uğradığında, DNS aramaları oturum açmayı yavaşlatabilir. Ve günlükteki "OLASI BREAK-IN ATTEMPT" mesajları yanıltıcıdır. Bu mesajın gerçekten anlamı, istemcinin DNS'i yanlış yapılandırmasıdır. - kasperd
@kasperd UseDNS hostnameleri kullanmak isteyen / istiyorsa from= yönerge authorized_keys Dosyalar. - gf_
@OlafM'a katılmıyorum - "UseDNS no", sshd'ye ters haritalama kontrolünü gerçekleştirmemesini söyler ve bu nedenle sistem kayıtlarına "OLASI BREAK-IN ATTEMPT" içeren herhangi bir satır eklemez. Bir yan etki olarak, ters DNS'nin doğru şekilde yapılandırılmamış olduğundan, ana bilgisayarlardan bağlantı girişimlerini hızlandırabilir. - TimT
Evet @OlafM Yaptım, yaklaşık 4-5 yıl önce Linux'ta. Kayıtlarımı kısalttı ve durdu logcheck değersiz e-posta raporları ile beni rahatsız ediyor. - TimT


Başarılı bir giriş gerekli değil, ama "olumlu" ve "girişim" diyor.

Bazı kötü çocuk ya da senaryo kiddie, size sahte bir menşe IP ile hazırlanmış trafik gönderiyor.

SSH anahtarlarınıza kökeni IP sınırlamaları ekleyebilir ve fail2ban gibi bir şey deneyebilirsiniz.


5



Teşekkürler. Seçilebilir kaynaklardan yalnızca ssh bağlantısına izin verecek şekilde ayarlanmış iptables'im var. Ayrıca yüklü ve çalışan fail2ban var. - Mike B