“ เป็นไปได้ในการบุกรุก!” ใน / var / log / secure - สิ่งนี้หมายความว่าอย่างไร


96

ฉันมี CentOS 5.x box ที่ทำงานบนแพลตฟอร์ม VPS โฮสต์ VPS ของฉันตีความคำถามสนับสนุนที่ฉันมีเกี่ยวกับการเชื่อมต่อและล้างกฎ iptables บางอย่างได้อย่างมีประสิทธิภาพ สิ่งนี้ส่งผลให้ฟัง ssh บนพอร์ตมาตรฐานและยอมรับการทดสอบการเชื่อมต่อพอร์ต น่ารำคาญ

ข่าวดีก็คือฉันต้องการรหัสที่ได้รับอนุญาตจาก SSH เท่าที่ฉันจะบอกได้ฉันไม่คิดว่าจะมีการฝ่าฝืนที่ประสบความสำเร็จ ฉันยังคงกังวลอย่างมากเกี่ยวกับสิ่งที่ฉันเห็นใน / var / log / secure แม้ว่า:


Apr 10 06:39:27 echo sshd[22297]: reverse mapping checking getaddrinfo for 222-237-78-139.tongkni.co.kr failed - POSSIBLE BREAK-IN ATTEMPT!
Apr 10 13:39:27 echo sshd[22298]: Received disconnect from 222.237.78.139: 11: Bye Bye
Apr 10 06:39:31 echo sshd[22324]: Invalid user edu1 from 222.237.78.139
Apr 10 06:39:31 echo sshd[22324]: reverse mapping checking getaddrinfo for 222-237-78-139.tongkni.co.kr failed - POSSIBLE BREAK-IN ATTEMPT!
Apr 10 13:39:31 echo sshd[22330]: input_userauth_request: invalid user edu1
Apr 10 13:39:31 echo sshd[22330]: Received disconnect from 222.237.78.139: 11: Bye Bye
Apr 10 06:39:35 echo sshd[22336]: Invalid user test1 from 222.237.78.139
Apr 10 06:39:35 echo sshd[22336]: reverse mapping checking getaddrinfo for 222-237-78-139.tongkni.co.kr failed - POSSIBLE BREAK-IN ATTEMPT!
Apr 10 13:39:35 echo sshd[22338]: input_userauth_request: invalid user test1
Apr 10 13:39:35 echo sshd[22338]: Received disconnect from 222.237.78.139: 11: Bye Bye
Apr 10 06:39:39 echo sshd[22377]: Invalid user test from 222.237.78.139
Apr 10 06:39:39 echo sshd[22377]: reverse mapping checking getaddrinfo for 222-237-78-139.tongkni.co.kr failed - POSSIBLE BREAK-IN ATTEMPT!
Apr 10 13:39:39 echo sshd[22378]: input_userauth_request: invalid user test
Apr 10 13:39:39 echo sshd[22378]: Received disconnect from 222.237.78.139: 11: Bye Bye

"ความเป็นไปได้ในการบุกรุก" หมายความว่าอะไร? ว่ามันประสบความสำเร็จ? หรือว่ามันไม่ชอบ IP ที่ร้องขอมา

คำตอบ:


78

น่าเสียดายที่สิ่งนี้เกิดขึ้นบ่อยมากในขณะนี้ เป็นการโจมตีอัตโนมัติบน SSH ซึ่งใช้ชื่อผู้ใช้ 'ทั่วไป' เพื่อลองและบุกเข้าไปในระบบของคุณ ข้อความดังกล่าวมีความหมายตรงตามที่ระบุ แต่ไม่ได้หมายความว่าคุณถูกแฮ็ค แต่มีคนพยายาม


ขอบคุณ Lain นั่นทำให้ฉันรู้สึกดีขึ้น ฉันดีใจจริงๆที่ฉันต้องใช้กุญแจที่ได้รับอนุญาตสำหรับ ssh =)
Mike B

28
"การทำแผนที่ย้อนกลับการตรวจสอบ getaddrinfo สำหรับ" เป็นข้อมูลเพิ่มเติมเกี่ยวกับแหล่ง IP / ชื่อโฮสต์ที่สร้างขึ้น ทราฟฟิกที่สร้างขึ้นแบบเดียวกันนั้นกำลังพยายามใช้ชื่อผู้ใช้ที่ไม่ดี แต่ชื่อผู้ใช้ที่ไม่ดีไม่ได้สร้างข้อความ "POSSIBLE BREAK-IN ATTEMPT"
toxicbit

11
@MikeyB: คุณอาจต้องการดูการเพิ่มfail2banให้กับระบบของคุณ สามารถกำหนดค่าให้บล็อก IP แอดเดรสของผู้โจมตีเหล่านี้ได้โดยอัตโนมัติ
user9517

9
โปรดทราบว่า 'การทำแผนที่ย้อนกลับล้มเหลว' อาจหมายถึงว่า ISP ของผู้ใช้ไม่ได้กำหนดค่า DNS ย้อนกลับอย่างถูกต้องซึ่งค่อนข้างบ่อย ดูคำตอบของ @Gaia
วิลฟริดฮิวจ์

1
สิ่งนี้ไม่ถูกต้องหมายความว่า DNS ย้อนกลับไม่ตรงกับชื่อโฮสต์ที่ไคลเอ็นต์ส่งเพื่อระบุตัวตน มีแนวโน้มว่าจะมีการตั้งค่าสถานะเนื่องจากอาจเป็นการหยุดพักสำหรับผู้ใช้.rhostsหรือการ.shostsรับรองความถูกต้อง (ฉันไม่เคยเห็นมาก่อนว่าเคยใช้) การสแกนเกิดขึ้น แต่นั่นไม่ใช่สิ่งที่ข้อความนี้เป็นเรื่องเกี่ยวกับ (แม้ว่าการเชื่อมต่อใด ๆ สามารถเรียกมัน) (สำหรับการสแกนข้อความผู้ใช้ auth / ไม่รู้จักที่ล้มเหลวดีกว่าที่จะมองหา)
Gert van den Berg

52

ส่วน "POSSIBLE BREAK-IN ATTEMPT" โดยเฉพาะเกี่ยวข้องกับส่วน "การทำแผนที่ย้อนกลับการตรวจสอบ getaddrinfo ล้มเหลว" หมายความว่าบุคคลที่เชื่อมต่อไม่ได้ส่งต่อและกำหนดค่า DNS อย่างถูกต้อง นี่เป็นเรื่องปกติโดยเฉพาะอย่างยิ่งสำหรับการเชื่อมต่อ ISP ซึ่งเป็นที่ที่ "การโจมตี" อาจมาจาก

ไม่เกี่ยวข้องกับข้อความ "POSSIBLE BREAK-IN ATTEMPT" ซึ่งบุคคลนั้นกำลังพยายามทำลายโดยใช้ชื่อผู้ใช้และรหัสผ่านทั่วไป อย่าใช้รหัสผ่านง่าย ๆ สำหรับ SSH อันที่จริงแล้วควรปิดการใช้งานรหัสผ่านทั้งหมดและใช้คีย์ SSH เท่านั้น


1
ถ้ามันถูกสร้างขึ้นโดยการเชื่อมต่อ (ถูกต้อง) ผ่าน ISP คุณสามารถเพิ่มรายการในไฟล์ / etc / hosts ของคุณเพื่อกำจัดข้อผิดพลาดการทำแผนที่ย้อนกลับนี้ เห็นได้ชัดว่าคุณทำเช่นนี้ก็ต่อเมื่อคุณรู้ว่าข้อผิดพลาดนั้นไม่เป็นอันตรายและต้องการล้างบันทึกของคุณ
artfulrobot

32

"ความหมายที่เป็นไปได้ของ BREAK-INTEMPT" หมายถึงอะไร "

ซึ่งหมายความว่าเจ้าของ netblock ไม่ได้อัปเดตระเบียน PTR สำหรับ IP แบบคงที่ภายในช่วงของพวกเขาและกล่าวว่าระเบียน PTR นั้นล้าสมัยหรือ ISP ไม่ได้ตั้งค่าระเบียนย้อนกลับที่เหมาะสมสำหรับลูกค้า IP แบบไดนามิก นี่เป็นเรื่องธรรมดามากแม้สำหรับ ISP ที่มีขนาดใหญ่

คุณได้รับข้อความ msg ในบันทึกของคุณเนื่องจากมีคนที่มาจาก IP ที่มีเร็กคอร์ด PTR ที่ไม่เหมาะสม (เนื่องจากเหตุผลข้อใดข้อหนึ่งข้างต้น) กำลังพยายามใช้ชื่อผู้ใช้ทั่วไปเพื่อลอง SSH ในเซิร์ฟเวอร์ของคุณ )

หากต้องการปิดใช้งานการแจ้งเตือนเหล่านี้คุณมีสองทางเลือก:

1) หากคุณมี IP แบบคงที่ให้เพิ่มการจับคู่ย้อนกลับไปยังไฟล์ / etc / hosts (ดูข้อมูลเพิ่มเติมที่นี่ ):

10.10.10.10 server.remotehost.com

2) หากคุณมี IP แบบไดนามิกและต้องการให้การแจ้งเตือนเหล่านั้นหายไปให้ออกความคิดเห็น "GSSAPIA การรับรองความถูกต้องใช่" ในไฟล์ / etc / ssh / sshd_config ของคุณ


2
ความคิดเห็นGSSAPIAuthenticationไม่ได้ช่วยในกรณีของฉัน (
SET

UseDNS noอาจเป็นการตั้งค่าที่ดีกว่าในการกำจัดมัน (และการเข้าสู่ระบบช้าเมื่อเซิร์ฟเวอร์มีปัญหา DNS ... )
Gert van den Berg

15

คุณสามารถทำให้อ่านและตรวจสอบบันทึกได้ง่ายขึ้นโดยการปิดการค้นหาแบบย้อนกลับใน sshd_config (ไม่มีหมายเลขการใช้งาน) วิธีนี้จะป้องกัน sshd จากการบันทึกบรรทัด "สัญญาณรบกวน" ที่มี "POSSIBLE BREAK-IN ATTEMPT" ทำให้คุณจดจ่อกับบรรทัดที่น่าสนใจที่มี "ผู้ใช้ USER จาก IPADDRESS" ไม่ถูกต้อง


4
ข้อเสียของการปิดใช้งานการค้นหาแบบย้อนกลับ sshd บนเซิร์ฟเวอร์ที่เชื่อมต่อกับอินเทอร์เน็ตสาธารณะคืออะไร? มีอัพไซด์ให้เปิดตัวเลือกนี้หรือไม่
Eddie

2
@Eddie ฉันไม่คิดว่าการค้นหา DNS ที่ดำเนินการโดย sshd มีจุดประสงค์ที่เป็นประโยชน์ใด ๆ มีสองเหตุผลที่ดีในการปิดใช้งานการค้นหา DNS การค้นหา DNS สามารถทำให้การเข้าสู่ระบบช้าลงหากการค้นหาหมดเวลา และข้อความ "ความเป็นไปได้ในการบุกรุก" ในบันทึกจะทำให้เข้าใจผิด ข้อความทั้งหมดนั้นหมายถึงว่าลูกค้ามีการกำหนดค่า DNS ผิดพลาด
kasperd

1
ฉันไม่เห็นด้วย @OlafM - "UseDNS no" บอกให้ sshd ไม่ทำการตรวจสอบการทำแผนที่ย้อนกลับดังนั้นมันจะไม่เพิ่มบรรทัดใด ๆ ที่มี "POSSIBLE BREAK-IN ATTEMPT" ลงในบันทึกของระบบ ผลข้างเคียงมันอาจเพิ่มความเร็วในการพยายามเชื่อมต่อจากโฮสต์มากกว่าไม่มีการกำหนดค่า DNS ย้อนกลับอย่างถูกต้อง
TimT

1
ใช่ @OlafM ฉันทำแล้วประมาณ 4-5 ปีที่ผ่านมาบน Linux มันทำให้บันทึกของฉันสั้นลงอย่างมากและหยุดการlogcheckบั๊กฉันด้วยรายงานอีเมลที่ไร้ค่า
TimT

1
การใช้งานหลักUseDNSสำหรับ (ความคิดที่ไม่ดีที่จะใช้) .rhostsและการ.shostsรับรองความถูกต้อง ( HostbasedAuthentication) (และFromตัวเลือกการจับคู่ในการกำหนดค่า SSHD และ authorized_keys) (มีการตั้งค่าแยกต่างหากHostbasedUsesNameFromPacketOnlyซึ่งอาจจำเป็นต้องสลับการค้นหาแบบย้อนกลับสำหรับการรับรองความถูกต้องตามโฮสต์เช่นกันความคิดที่แย่กว่าการใช้ Hostsbasedauthentication ... )
Gert van den Berg

5

ไม่จำเป็นต้องลงชื่อเข้าใช้ที่ประสบความสำเร็จ แต่สิ่งที่ระบุว่า "posible" และ "พยายาม"

เด็กเลวหรือสคริปต์ตัวเล็กกำลังส่งทราฟฟิกที่คุณสร้างขึ้นด้วย IP ต้นทางปลอม

คุณสามารถเพิ่มข้อ จำกัด IP ดั้งเดิมให้กับคีย์ SSH ของคุณและลองทำอะไรบางอย่างเช่น fail2ban


2
ขอบคุณ ฉันมี iptables ตั้งให้อนุญาตการเชื่อมต่อ ssh จากแหล่งที่เลือกเท่านั้น ฉันยังมี fail2ban ติดตั้งและใช้งานอยู่
Mike B
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.