Kann jemand sagen, was das bedeutet? Ich habe einen Befehl ausprobiert lastb
, um die Anmeldungen der letzten Benutzer anzuzeigen, und ich sehe einige seltsame Anmeldungen aus China (Server ist EU, ich bin in der EU). Ich habe mich gefragt, ob dies Anmeldeversuche oder erfolgreiche Anmeldungen sein könnten.
Diese scheinen sehr alt zu sein und normalerweise sperre ich Port 22 nur für meine IPs. Ich glaube, ich hatte den Port für eine Weile geöffnet, das letzte Protokoll ist im Juli.
root ssh:notty 222.92.89.xx Sat Jul 9 12:26 - 12:26 (00:00)
root ssh:notty 222.92.89.xx Sat Jul 9 12:04 - 12:04 (00:00)
oracle ssh:notty 222.92.89.xx Sat Jul 9 11:43 - 11:43 (00:00)
gary ssh:notty 222.92.89.xx Sat Jul 9 11:22 - 11:22 (00:00)
root ssh:notty 222.92.89.xx Sat Jul 9 11:01 - 11:01 (00:00)
gt05 ssh:notty 222.92.89.xx Sat Jul 9 10:40 - 10:40 (00:00)
admin ssh:notty 222.92.89.xx Sat Jul 9 10:18 - 10:18 (00:00)
Antworten:
lastb
zeigt nur anmelden Ausfälle . Verwendenlast
Sie diese Option, um erfolgreiche Anmeldungen anzuzeigen.quelle
Es zeigt Personen, die versuchen, Inhalte hoch- oder herunterzuladen. Der "notty" -Teil bedeutet kein tty (wobei tty für Teletyp steht), was heutzutage keinen Monitor oder keine GUI bedeutet, und der ssh zeigt Port 22 an, was zusammengenommen so etwas wie scp oder rsync bedeutet.
Also keine Hacking- oder Login-Versuche, sondern falsche oder falsch eingegebene Passwörter. Es könnte sein, dass einige Inhalte über Google gefunden wurden, aber ein Passwort erforderlich war, das jemand zu erraten versuchte.
Nach dem Nachdenken ist das oben Gesagte nicht richtig. Es könnten fehlgeschlagene Anmeldeversuche über ssh sein, wie der Fragesteller vermutet; und (wie ich beim ersten Mal verpasst habe) sie befinden sich in regelmäßigen Abständen von 21 oder 22 Minuten, was auf einen gewissen Grad an Automatisierung hindeutet, aber
lastb
per Definition Fehler zeigt, sodass diese Ergebnisse verglichen werden müssten, um festzustellenlast
, ob sie erfolgreich waren.quelle
Schließen Sie Port 22. Konfigurieren Sie Ihren sshd so, dass er einen anderen Port überwacht und Denyhosts installiert und ausführt.
quelle
Warum nicht zuletzt verwenden ? Bitte benutzen Sie den Befehl 'last' und suchen Sie nach ips aus China oder außerhalb der USA.
Auch ... Mann ist dein Freund Mann Lasttb
Lastb ist dasselbe wie last, außer dass standardmäßig ein Protokoll der Datei / var / log / btmp angezeigt wird, das alle fehlerhaften Anmeldeversuche enthält.
quelle
Ja, dies scheinen Anmeldeversuche zu sein, da dieselbe IP mehrere Benutzernamen verwendet hat, um eine Eingabe zu versuchen. Höchstwahrscheinlich ein Brute-Force-Angriff.
So beheben Sie dieses Problem:
Installieren Sie Fail2Ban und blockieren Sie fehlgeschlagene Anmeldeversuche mit -1. Dadurch wird das Verbot dauerhaft.
Fügen Sie eine Gefängnisdatei hinzu, um SSH zu schützen. Erstellen Sie eine neue Datei mit dem Nano-Editor oder vi, vim
nano /etc/fail2ban/jail.d/sshd.local
Fügen Sie der obigen Datei die folgenden Codezeilen hinzu.
[sshd]
enabled = true
port = ssh
"#" action = firewallcmd-ipset
logpath =% (sshd_log) s
maxretry = 5
Bantime = -1
quelle
RE: lastb
"ssh: notty" / var / log / btmp-Einträge zeigen fehlgeschlagene Anmeldeversuche von der in "/ etc / ssh / sshd_config" zugewiesenen SSH-Portnummer an.
Aus Sicherheitsgründen wurde der SSH-Port normalerweise auf eine andere Nummer als "22" geändert. "Ssh" bedeutet in diesem Zusammenhang lediglich die aktuell zugewiesene (nicht 22) SSH-Portnummer.
Da ein erfolgreicher SSH-Zertifikat-Handshake immer erforderlich sein sollte, um den Anmeldebildschirm zu erreichen, resultieren alle "ssh: notty" -Protokolleinträge wahrscheinlich aus Ihren eigenen fehlgeschlagenen Anmeldeversuchen. normalerweise von einem falsch eingegebenen Benutzernamen. Notieren Sie die IP-Adresse, die dem Protokolleintrag zugeordnet ist ... wahrscheinlich Ihre eigene!
"notty" bedeutet "no tty".
Informieren Sie sich über grundlegende Sicherheit, wie sie funktioniert, wo sich die Protokolle befinden und wie sie interpretiert werden, wo sich die verschiedenen Konfigurationsdateien befinden und was die Anweisungen bedeuten und wie IPTables konfiguriert werden, bevor Sie einen Linux-Server einrichten und verwenden. Beschränken Sie die Anmeldungen auf eine "statische IP-Adresse" und beschränken / beschränken Sie die Anmeldemaßnahmen:
BASIC SSH-Konfigurationsanweisungen, die Anmeldungen einschränken und nur Anmeldungen von bestimmten Benutzern und IP-Adressen zulassen:
Vergessen Sie nicht, den SSH-Dienst nach der Bearbeitung neu zu starten.
BASIC IPTables-Regeln, die nur SSH-Verbindungen von einer bestimmten statischen IP-Adresse zulassen:
Vergessen Sie nicht, IP-Tabellen nach Änderungen "wiederherzustellen".
Vergessen Sie in einem LAN oder in einer "gehosteten" Cloud-Umgebung nicht, die "private" Seite (Netzwerkadapter) zu sichern. Ihre Feinde haben oft schon Zugriff auf Ihr Netzwerk und kommen durch die Hintertür herein.
Wenn Sie sich in einer Cloud-Umgebung wie RackSpace oder DigitalOcean befinden und die Konfigurationen verschmutzen und sich selbst sperren, können Sie jederzeit über die Konsole nachsehen und das Problem beheben. MACHEN SIE IMMER KOPIEN VON KONFIG-DATEIEN, BEVOR SIE SIE BEARBEITEN !!!
quelle