“ เป็นไปได้ในการบุกรุก!” ใน / var / log / secure - สิ่งนี้หมายความว่าอย่างไร

ฉันมี CentOS 5.x box ที่ทำงานบนแพลตฟอร์ม VPS โฮสต์ VPS ของฉันตีความคำถามสนับสนุนที่ฉันมีเกี่ยวกับการเชื่อมต่อและล้างกฎ iptables บางอย่างได้อย่างมีประสิทธิภาพ สิ่งนี้ส่งผลให้ฟัง ssh บนพอร์ตมาตรฐานและยอมรับการทดสอบการเชื่อมต่อพอร์ต น่ารำคาญ

ข่าวดีก็คือฉันต้องการรหัสที่ได้รับอนุญาตจาก SSH เท่าที่ฉันจะบอกได้ฉันไม่คิดว่าจะมีการฝ่าฝืนที่ประสบความสำเร็จ ฉันยังคงกังวลอย่างมากเกี่ยวกับสิ่งที่ฉันเห็นใน / var / log / secure แม้ว่า:

Apr 10 06:39:27 echo sshd[22297]: reverse mapping checking getaddrinfo for 222-237-78-139.tongkni.co.kr failed - POSSIBLE BREAK-IN ATTEMPT!
Apr 10 13:39:27 echo sshd[22298]: Received disconnect from 222.237.78.139: 11: Bye Bye
Apr 10 06:39:31 echo sshd[22324]: Invalid user edu1 from 222.237.78.139
Apr 10 06:39:31 echo sshd[22324]: reverse mapping checking getaddrinfo for 222-237-78-139.tongkni.co.kr failed - POSSIBLE BREAK-IN ATTEMPT!
Apr 10 13:39:31 echo sshd[22330]: input_userauth_request: invalid user edu1
Apr 10 13:39:31 echo sshd[22330]: Received disconnect from 222.237.78.139: 11: Bye Bye
Apr 10 06:39:35 echo sshd[22336]: Invalid user test1 from 222.237.78.139
Apr 10 06:39:35 echo sshd[22336]: reverse mapping checking getaddrinfo for 222-237-78-139.tongkni.co.kr failed - POSSIBLE BREAK-IN ATTEMPT!
Apr 10 13:39:35 echo sshd[22338]: input_userauth_request: invalid user test1
Apr 10 13:39:35 echo sshd[22338]: Received disconnect from 222.237.78.139: 11: Bye Bye
Apr 10 06:39:39 echo sshd[22377]: Invalid user test from 222.237.78.139
Apr 10 06:39:39 echo sshd[22377]: reverse mapping checking getaddrinfo for 222-237-78-139.tongkni.co.kr failed - POSSIBLE BREAK-IN ATTEMPT!
Apr 10 13:39:39 echo sshd[22378]: input_userauth_request: invalid user test
Apr 10 13:39:39 echo sshd[22378]: Received disconnect from 222.237.78.139: 11: Bye Bye

"ความเป็นไปได้ในการบุกรุก" หมายความว่าอะไร? ว่ามันประสบความสำเร็จ? หรือว่ามันไม่ชอบ IP ที่ร้องขอมา

น่าเสียดายที่สิ่งนี้เกิดขึ้นบ่อยมากในขณะนี้ เป็นการโจมตีอัตโนมัติบน SSH ซึ่งใช้ชื่อผู้ใช้ 'ทั่วไป' เพื่อลองและบุกเข้าไปในระบบของคุณ ข้อความดังกล่าวมีความหมายตรงตามที่ระบุ แต่ไม่ได้หมายความว่าคุณถูกแฮ็ค แต่มีคนพยายาม

ส่วน "POSSIBLE BREAK-IN ATTEMPT" โดยเฉพาะเกี่ยวข้องกับส่วน "การทำแผนที่ย้อนกลับการตรวจสอบ getaddrinfo ล้มเหลว" หมายความว่าบุคคลที่เชื่อมต่อไม่ได้ส่งต่อและกำหนดค่า DNS อย่างถูกต้อง นี่เป็นเรื่องปกติโดยเฉพาะอย่างยิ่งสำหรับการเชื่อมต่อ ISP ซึ่งเป็นที่ที่ "การโจมตี" อาจมาจาก

ไม่เกี่ยวข้องกับข้อความ "POSSIBLE BREAK-IN ATTEMPT" ซึ่งบุคคลนั้นกำลังพยายามทำลายโดยใช้ชื่อผู้ใช้และรหัสผ่านทั่วไป อย่าใช้รหัสผ่านง่าย ๆ สำหรับ SSH อันที่จริงแล้วควรปิดการใช้งานรหัสผ่านทั้งหมดและใช้คีย์ SSH เท่านั้น

"ความหมายที่เป็นไปได้ของ BREAK-INTEMPT" หมายถึงอะไร "

ซึ่งหมายความว่าเจ้าของ netblock ไม่ได้อัปเดตระเบียน PTR สำหรับ IP แบบคงที่ภายในช่วงของพวกเขาและกล่าวว่าระเบียน PTR นั้นล้าสมัยหรือ ISP ไม่ได้ตั้งค่าระเบียนย้อนกลับที่เหมาะสมสำหรับลูกค้า IP แบบไดนามิก นี่เป็นเรื่องธรรมดามากแม้สำหรับ ISP ที่มีขนาดใหญ่

คุณได้รับข้อความ msg ในบันทึกของคุณเนื่องจากมีคนที่มาจาก IP ที่มีเร็กคอร์ด PTR ที่ไม่เหมาะสม (เนื่องจากเหตุผลข้อใดข้อหนึ่งข้างต้น) กำลังพยายามใช้ชื่อผู้ใช้ทั่วไปเพื่อลอง SSH ในเซิร์ฟเวอร์ของคุณ )

หากต้องการปิดใช้งานการแจ้งเตือนเหล่านี้คุณมีสองทางเลือก:

1) หากคุณมี IP แบบคงที่ให้เพิ่มการจับคู่ย้อนกลับไปยังไฟล์ / etc / hosts (ดูข้อมูลเพิ่มเติมที่นี่ ):

10.10.10.10 server.remotehost.com

2) หากคุณมี IP แบบไดนามิกและต้องการให้การแจ้งเตือนเหล่านั้นหายไปให้ออกความคิดเห็น "GSSAPIA การรับรองความถูกต้องใช่" ในไฟล์ / etc / ssh / sshd_config ของคุณ

คุณสามารถทำให้อ่านและตรวจสอบบันทึกได้ง่ายขึ้นโดยการปิดการค้นหาแบบย้อนกลับใน sshd_config (ไม่มีหมายเลขการใช้งาน) วิธีนี้จะป้องกัน sshd จากการบันทึกบรรทัด "สัญญาณรบกวน" ที่มี "POSSIBLE BREAK-IN ATTEMPT" ทำให้คุณจดจ่อกับบรรทัดที่น่าสนใจที่มี "ผู้ใช้ USER จาก IPADDRESS" ไม่ถูกต้อง

ไม่จำเป็นต้องลงชื่อเข้าใช้ที่ประสบความสำเร็จ แต่สิ่งที่ระบุว่า "posible" และ "พยายาม"

เด็กเลวหรือสคริปต์ตัวเล็กกำลังส่งทราฟฟิกที่คุณสร้างขึ้นด้วย IP ต้นทางปลอม

คุณสามารถเพิ่มข้อ จำกัด IP ดั้งเดิมให้กับคีย์ SSH ของคุณและลองทำอะไรบางอย่างเช่น fail2ban