Ist dieser Server gehackt oder nur Anmeldeversuche? Siehe Protokoll

13

Kann jemand sagen, was das bedeutet? Ich habe einen Befehl ausprobiert lastb, um die Anmeldungen der letzten Benutzer anzuzeigen, und ich sehe einige seltsame Anmeldungen aus China (Server ist EU, ich bin in der EU). Ich habe mich gefragt, ob dies Anmeldeversuche oder erfolgreiche Anmeldungen sein könnten.

Diese scheinen sehr alt zu sein und normalerweise sperre ich Port 22 nur für meine IPs. Ich glaube, ich hatte den Port für eine Weile geöffnet, das letzte Protokoll ist im Juli.

root     ssh:notty    222.92.89.xx     Sat Jul  9 12:26 - 12:26  (00:00)
root     ssh:notty    222.92.89.xx     Sat Jul  9 12:04 - 12:04  (00:00)
oracle   ssh:notty    222.92.89.xx     Sat Jul  9 11:43 - 11:43  (00:00)
gary     ssh:notty    222.92.89.xx     Sat Jul  9 11:22 - 11:22  (00:00)
root     ssh:notty    222.92.89.xx     Sat Jul  9 11:01 - 11:01  (00:00)
gt05     ssh:notty    222.92.89.xx     Sat Jul  9 10:40 - 10:40  (00:00)
admin    ssh:notty    222.92.89.xx     Sat Jul  9 10:18 - 10:18  (00:00)
adrianTNT
quelle
1
Sehen Sie diese Namen zusammen mit dieser IP auch in / var / log / auth?
ott--

Antworten:

15

lastbzeigt nur anmelden Ausfälle . Verwenden lastSie diese Option, um erfolgreiche Anmeldungen anzuzeigen.

Michael Hampton
quelle
6

Es zeigt Personen, die versuchen, Inhalte hoch- oder herunterzuladen. Der "notty" -Teil bedeutet kein tty (wobei tty für Teletyp steht), was heutzutage keinen Monitor oder keine GUI bedeutet, und der ssh zeigt Port 22 an, was zusammengenommen so etwas wie scp oder rsync bedeutet.

Also keine Hacking- oder Login-Versuche, sondern falsche oder falsch eingegebene Passwörter. Es könnte sein, dass einige Inhalte über Google gefunden wurden, aber ein Passwort erforderlich war, das jemand zu erraten versuchte.

Nach dem Nachdenken ist das oben Gesagte nicht richtig. Es könnten fehlgeschlagene Anmeldeversuche über ssh sein, wie der Fragesteller vermutet; und (wie ich beim ersten Mal verpasst habe) sie befinden sich in regelmäßigen Abständen von 21 oder 22 Minuten, was auf einen gewissen Grad an Automatisierung hindeutet, aber lastbper Definition Fehler zeigt, sodass diese Ergebnisse verglichen werden müssten, um festzustellen last, ob sie erfolgreich waren.

Ramruma
quelle
3

Schließen Sie Port 22. Konfigurieren Sie Ihren sshd so, dass er einen anderen Port überwacht und Denyhosts installiert und ausführt.

tzakuk
quelle
2

Warum nicht zuletzt verwenden ? Bitte benutzen Sie den Befehl 'last' und suchen Sie nach ips aus China oder außerhalb der USA.

Auch ... Mann ist dein Freund Mann Lasttb

Lastb ist dasselbe wie last, außer dass standardmäßig ein Protokoll der Datei / var / log / btmp angezeigt wird, das alle fehlerhaften Anmeldeversuche enthält.

3.14
quelle
1

Ja, dies scheinen Anmeldeversuche zu sein, da dieselbe IP mehrere Benutzernamen verwendet hat, um eine Eingabe zu versuchen. Höchstwahrscheinlich ein Brute-Force-Angriff.

So beheben Sie dieses Problem:

Installieren Sie Fail2Ban und blockieren Sie fehlgeschlagene Anmeldeversuche mit -1. Dadurch wird das Verbot dauerhaft.

Fügen Sie eine Gefängnisdatei hinzu, um SSH zu schützen. Erstellen Sie eine neue Datei mit dem Nano-Editor oder vi, vim

nano /etc/fail2ban/jail.d/sshd.local

Fügen Sie der obigen Datei die folgenden Codezeilen hinzu.

[sshd]

enabled = true

port = ssh

"#" action = firewallcmd-ipset

logpath =% (sshd_log) s

maxretry = 5

Bantime = -1

Greygan
quelle
0

RE: lastb

"ssh: notty" / var / log / btmp-Einträge zeigen fehlgeschlagene Anmeldeversuche von der in "/ etc / ssh / sshd_config" zugewiesenen SSH-Portnummer an.

Aus Sicherheitsgründen wurde der SSH-Port normalerweise auf eine andere Nummer als "22" geändert. "Ssh" bedeutet in diesem Zusammenhang lediglich die aktuell zugewiesene (nicht 22) SSH-Portnummer.

Da ein erfolgreicher SSH-Zertifikat-Handshake immer erforderlich sein sollte, um den Anmeldebildschirm zu erreichen, resultieren alle "ssh: notty" -Protokolleinträge wahrscheinlich aus Ihren eigenen fehlgeschlagenen Anmeldeversuchen. normalerweise von einem falsch eingegebenen Benutzernamen. Notieren Sie die IP-Adresse, die dem Protokolleintrag zugeordnet ist ... wahrscheinlich Ihre eigene!

"notty" bedeutet "no tty".

Informieren Sie sich über grundlegende Sicherheit, wie sie funktioniert, wo sich die Protokolle befinden und wie sie interpretiert werden, wo sich die verschiedenen Konfigurationsdateien befinden und was die Anweisungen bedeuten und wie IPTables konfiguriert werden, bevor Sie einen Linux-Server einrichten und verwenden. Beschränken Sie die Anmeldungen auf eine "statische IP-Adresse" und beschränken / beschränken Sie die Anmeldemaßnahmen:

BASIC SSH-Konfigurationsanweisungen, die Anmeldungen einschränken und nur Anmeldungen von bestimmten Benutzern und IP-Adressen zulassen:

LoginGraceTime 30
MaxStartups 3:50:10
MaxAuthTries 4
PermitRootLogin no
AllowUsers YourUserName@YourIPAddress
PubkeyAuthentication yes
AuthorizedKeysFile   %h/.ssh/authorized_keys
PasswordAuthentication no

Vergessen Sie nicht, den SSH-Dienst nach der Bearbeitung neu zu starten.

BASIC IPTables-Regeln, die nur SSH-Verbindungen von einer bestimmten statischen IP-Adresse zulassen:

*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW                                 -j DROP
-A INPUT -m state --state INVALID -j DROP
-A INPUT -f -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN FIN,SYN -j DROP
-A INPUT -p tcp -m tcp --tcp-flags SYN,RST SYN,RST -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,RST FIN,RST -j DROP
-A INPUT -p tcp -m tcp --tcp-flags PSH,ACK PSH -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,ACK FIN -j DROP
-A INPUT -p tcp -m tcp --tcp-flags ACK,URG URG -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,PSH,ACK,URG -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,PSH,URG -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,PSH,URG -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,ACK,URG -j DROP
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp -s YourStaticIPAddress -m multiport --dports SSHPortNumber -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
-A INPUT -j DROP
-A FORWARD -j DROP
COMMIT

Vergessen Sie nicht, IP-Tabellen nach Änderungen "wiederherzustellen".

Vergessen Sie in einem LAN oder in einer "gehosteten" Cloud-Umgebung nicht, die "private" Seite (Netzwerkadapter) zu sichern. Ihre Feinde haben oft schon Zugriff auf Ihr Netzwerk und kommen durch die Hintertür herein.

Wenn Sie sich in einer Cloud-Umgebung wie RackSpace oder DigitalOcean befinden und die Konfigurationen verschmutzen und sich selbst sperren, können Sie jederzeit über die Konsole nachsehen und das Problem beheben. MACHEN SIE IMMER KOPIEN VON KONFIG-DATEIEN, BEVOR SIE SIE BEARBEITEN !!!

Sandteich
quelle