Ich habe eine CentOS 5.x-Box, die auf einer VPS-Plattform läuft. Mein VPS-Host hat eine Supportanfrage zur Konnektivität falsch interpretiert und einige iptables-Regeln effektiv gelöscht. Dies führte dazu, dass ssh den Standardport abhörte und Port-Konnektivitätstests bestätigte. Nervig.
Die gute Nachricht ist, dass ich SSH-autorisierte Schlüssel benötige. Soweit ich das beurteilen kann, glaube ich nicht, dass es eine erfolgreiche Verletzung gegeben hat. Ich bin immer noch sehr besorgt über das, was ich in / var / log / secure sehe:
Apr 10 06:39:27 echo sshd[22297]: reverse mapping checking getaddrinfo for 222-237-78-139.tongkni.co.kr failed - POSSIBLE BREAK-IN ATTEMPT!
Apr 10 13:39:27 echo sshd[22298]: Received disconnect from 222.237.78.139: 11: Bye Bye
Apr 10 06:39:31 echo sshd[22324]: Invalid user edu1 from 222.237.78.139
Apr 10 06:39:31 echo sshd[22324]: reverse mapping checking getaddrinfo for 222-237-78-139.tongkni.co.kr failed - POSSIBLE BREAK-IN ATTEMPT!
Apr 10 13:39:31 echo sshd[22330]: input_userauth_request: invalid user edu1
Apr 10 13:39:31 echo sshd[22330]: Received disconnect from 222.237.78.139: 11: Bye Bye
Apr 10 06:39:35 echo sshd[22336]: Invalid user test1 from 222.237.78.139
Apr 10 06:39:35 echo sshd[22336]: reverse mapping checking getaddrinfo for 222-237-78-139.tongkni.co.kr failed - POSSIBLE BREAK-IN ATTEMPT!
Apr 10 13:39:35 echo sshd[22338]: input_userauth_request: invalid user test1
Apr 10 13:39:35 echo sshd[22338]: Received disconnect from 222.237.78.139: 11: Bye Bye
Apr 10 06:39:39 echo sshd[22377]: Invalid user test from 222.237.78.139
Apr 10 06:39:39 echo sshd[22377]: reverse mapping checking getaddrinfo for 222-237-78-139.tongkni.co.kr failed - POSSIBLE BREAK-IN ATTEMPT!
Apr 10 13:39:39 echo sshd[22378]: input_userauth_request: invalid user test
Apr 10 13:39:39 echo sshd[22378]: Received disconnect from 222.237.78.139: 11: Bye Bye
Was genau bedeutet "MÖGLICHER EINBRUCHVERSUCH"? Dass es erfolgreich war? Oder dass es nicht gefallen hat, von welcher IP die Anfrage kam?
.rhosts
oder der.shosts
Authentifizierung gewesen sein könnte (ich habe noch nie gesehen, dass diese verwendet wurden). Scans passiert, aber das ist nicht das, was diese Nachricht über ist (obwohl jede Verbindung kann es auslösen) (Für Scans, die ausgefallenen Auth / unbekannt Benutzernachrichten besser suchen)Der Teil "MÖGLICHE EINBRUCHVERSUCHE" bezieht sich speziell auf den Teil "Überprüfung der umgekehrten Zuordnung getaddrinfo fehlgeschlagen". Dies bedeutet, dass für die Person, die die Verbindung hergestellt hat, Forward- und Reverse-DNS nicht richtig konfiguriert wurde. Dies ist besonders bei ISP-Verbindungen sehr verbreitet, woher der "Angriff" wahrscheinlich kam.
Unabhängig von der Meldung "POSSIBLE BREAK-IN ATTEMPT" (MÖGLICHE EINBRUCHVERSUCHE) versucht die Person tatsächlich, sich mit gebräuchlichen Benutzernamen und Kennwörtern einzumischen. Verwenden Sie keine einfachen Passwörter für SSH. Tatsächlich ist es die beste Idee, Kennwörter vollständig zu deaktivieren und nur SSH-Schlüssel zu verwenden.
quelle
Dies bedeutet, dass der Netblock-Besitzer den PTR-Datensatz für eine statische IP-Adresse in seinem Bereich nicht aktualisiert hat und dieser PTR-Datensatz veraltet ist, ODER dass ein ISP keine korrekten Reverse-Datensätze für seine dynamischen IP-Kunden erstellt. Dies ist selbst bei großen Internetdienstanbietern weit verbreitet.
Am Ende wird die Nachricht in Ihrem Protokoll angezeigt, weil jemand, der von einer IP-Adresse mit falschen PTR-Einträgen stammt (aus einem der oben genannten Gründe), versucht, gemeinsame Benutzernamen zu verwenden, um SSH auf Ihrem Server zu testen (möglicherweise ein Bruteforce-Angriff oder ein schwerwiegender Fehler) ).
Um diese Warnungen zu deaktivieren, haben Sie zwei Möglichkeiten:
1) Wenn Sie eine statische IP- Adresse haben , fügen Sie Ihre umgekehrte Zuordnung zu Ihrer Datei / etc / hosts hinzu (weitere Informationen finden Sie hier ):
2) Wenn Sie eine dynamische IP- Adresse haben und diese Warnungen wirklich entfernen möchten, kommentieren Sie die Option "GSSAPIAuthentication yes" in Ihrer Datei / etc / ssh / sshd_config aus.
quelle
GSSAPIAuthentication
hilft in meinemUseDNS no
ist wahrscheinlich die bessere Einstellung, um es loszuwerden (und langsame Anmeldungen, wenn der Server DNS-Probleme hat ...)Sie können das Lesen und Überprüfen Ihrer Protokolle vereinfachen, indem Sie Reverse-Lookups in sshd_config deaktivieren (UseDNS-Nr.). Dies verhindert, dass sshd die "Noise" -Zeilen mit "POSSIBLE BREAK-IN ATTEMPT" protokolliert, sodass Sie sich auf die etwas interessanteren Zeilen mit "Invalid user USER from IPADDRESS" konzentrieren können.
quelle
logcheck
mich nicht mehr mit wertlosen E-Mail-Berichten belästigt.UseDNS
ist für die (schlechte Idee zu verwenden).rhosts
und.shosts
Authentifizierung (HostbasedAuthentication
). (Und dieFrom
Übereinstimmungsoption in der SSHD-Konfiguration und authorized_keys) (Es gibt jedoch eine separate Einstellung,HostbasedUsesNameFromPacketOnly
die möglicherweise erforderlich ist, um Reverse-Lookups auch für Hosts-basierte Authentifizierung zu deaktivieren, was eine schlechtere Idee ist als die Verwendung der Host-basierten Authentifizierung ...)Es ist keine erfolgreiche Anmeldung erforderlich, sondern was es heißt "möglich" und "Versuch".
Ein böser Junge oder ein Script-Kiddie sendet Ihnen manipulierten Datenverkehr mit einer falschen Ursprungs-IP.
Sie können Ihren SSH-Schlüsseln Ursprungs-IP-Beschränkungen hinzufügen und so etwas wie fail2ban ausprobieren.
quelle