เซิร์ฟเวอร์นี้ถูกแฮ็กหรือพยายามลงชื่อเข้าใช้หรือไม่ ดูบันทึก

ใครสามารถบอกได้ว่าสิ่งนี้หมายความว่าอย่างไร ฉันลองใช้คำสั่งlastbเพื่อดูการเข้าสู่ระบบของผู้ใช้ล่าสุดและฉันเห็นการเข้าสู่ระบบแปลก ๆ จากประเทศจีน (เซิร์ฟเวอร์คือ EU ฉันอยู่ใน EU) ฉันสงสัยว่าสิ่งเหล่านี้อาจเป็นความพยายามในการเข้าสู่ระบบหรือการเข้าสู่ระบบที่ประสบความสำเร็จหรือไม่

สิ่งเหล่านี้ดูเหมือนจะเก่ามากและโดยปกติฉันจะล็อคพอร์ตที่ 22 กับ IP ของฉันเท่านั้นฉันคิดว่าฉันเปิดพอร์ตไว้ซักพักแล้วไฟล์บันทึกล่าสุดจะอยู่ในเดือนกรกฎาคม

root     ssh:notty    222.92.89.xx     Sat Jul  9 12:26 - 12:26  (00:00)
root     ssh:notty    222.92.89.xx     Sat Jul  9 12:04 - 12:04  (00:00)
oracle   ssh:notty    222.92.89.xx     Sat Jul  9 11:43 - 11:43  (00:00)
gary     ssh:notty    222.92.89.xx     Sat Jul  9 11:22 - 11:22  (00:00)
root     ssh:notty    222.92.89.xx     Sat Jul  9 11:01 - 11:01  (00:00)
gt05     ssh:notty    222.92.89.xx     Sat Jul  9 10:40 - 10:40  (00:00)
admin    ssh:notty    222.92.89.xx     Sat Jul  9 10:18 - 10:18  (00:00)

lastbแสดงความล้มเหลวในการเข้าสู่ระบบเท่านั้น ใช้lastเพื่อดูการเข้าสู่ระบบที่ประสบความสำเร็จ

มันแสดงให้เห็นว่าคนที่พยายามอัปโหลดหรือดาวน์โหลดเนื้อหา ส่วน "notty" หมายถึงไม่มี tty (โดยที่ tty สั้นสำหรับโทรพิมพ์) ซึ่งทุกวันนี้หมายถึงไม่มีมอนิเตอร์หรือกุยและ ssh บ่งชี้พอร์ต 22 ซึ่งรวมกันหมายถึงบางสิ่งบางอย่างเช่น scp หรือ rsync

ดังนั้นอย่าพยายามแฮ็คหรือเข้าสู่ระบบ แต่รหัสผ่านไม่ถูกต้องหรือพิมพ์ผิด อาจมีเนื้อหาบางส่วนตั้งอยู่ผ่าน google แต่ต้องใช้รหัสผ่านที่มีคนพยายามเดา

ที่จริงแล้วการไตร่ตรองข้างต้นนั้นไม่ถูกต้อง พวกเขาอาจล้มเหลวในการพยายามเข้าสู่ระบบผ่าน ssh ในขณะที่ผู้ถามสงสัย; และ (อย่างที่ฉันพลาดครั้งแรก) พวกเขาอยู่ในช่วงเวลาปกติ 21 หรือ 22 นาทีซึ่งแสดงระดับของระบบอัตโนมัติ แต่lastbแสดงความล้มเหลวตามคำนิยามดังนั้นผลลัพธ์เหล่านี้จะต้องเปรียบเทียบกับlastเพื่อดูว่ามีใครประสบความสำเร็จหรือไม่

ปิดพอร์ต 22. กำหนดค่า sshd ของคุณเพื่อฟังบนพอร์ตอื่นแล้วติดตั้งและเรียกใช้ denyhosts

ทำไม dont ใช้สุดท้าย ?? โปรดใช้คำสั่ง 'ล่าสุด' และค้นหา ips จากจีนหรือนอกสหรัฐอเมริกา

นอกจากนี้ ... ผู้ชายคือเพื่อนของคุณ lasttb

Lastb เหมือนกันเป็นครั้งสุดท้ายยกเว้นว่าโดยค่าเริ่มต้นมันจะแสดงบันทึกของไฟล์ / var / log / btmp ซึ่งมีความพยายามเข้าสู่ระบบที่ไม่ดีทั้งหมด

ใช่ผู้ที่ดูเหมือนจะพยายามเข้าสู่ระบบเป็น IP เดียวกันใช้ชื่อผู้ใช้หลายรายการเพื่อพยายาม น่าจะเป็นการโจมตีแบบ Brute Force

ในการแก้ไขปัญหานี้:

ติดตั้ง Fail2Ban และบล็อกล้มเหลวในการพยายามเข้าสู่ระบบด้วย -1 สิ่งนี้ทำให้การแบนของพวกเขาเป็นแบบถาวร

เพิ่มไฟล์คุกเพื่อปกป้อง SSH สร้างไฟล์ใหม่ด้วยเครื่องมือแก้ไขนาโนหรือ vi, vim

nano /etc/fail2ban/jail.d/sshd.local

ในไฟล์ด้านบนเพิ่มบรรทัดของรหัสต่อไปนี้

[sshd]

เปิดใช้งาน = จริง

พอร์ต = ssh

"#" action = firewallcmd-ipset

logpath =% (sshd_log) s

maxretry = 5

bantime = -1

RE: lastb

"ssh: notty" / var / log / btmp ระบุว่าพยายามเข้าสู่ระบบล้มเหลวจากหมายเลขพอร์ต SSH ที่กำหนดใน "/ etc / ssh / sshd_config"

เพื่อเหตุผลด้านความปลอดภัยพอร์ต SSH มักจะถูกเปลี่ยนเป็นหมายเลขอื่นที่ไม่ใช่ "22" ดังนั้น "ssh" ในบริบทนี้หมายถึงหมายเลขพอร์ต SSH ที่ได้รับมอบหมายในปัจจุบัน (ไม่ใช่ 22)

เนื่องจากการจับมือใบรับรอง SSH ที่ประสบความสำเร็จ SHOULD จำเป็นต้องเข้าถึงหน้าจอเข้าสู่ระบบเสมอรายการบันทึก "ssh: notty" ใด ๆ ที่เป็นผลมาจากความพยายามในการเข้าสู่ระบบที่ล้มเหลวของคุณเอง มักจะมาจากชื่อผู้ใช้ที่พิมพ์ผิด จดบันทึกที่อยู่ IP ที่เชื่อมโยงกับรายการบันทึก ... อาจเป็นของคุณเอง!

"notty" หมายถึง "no tty"

เรียนรู้การรักษาความปลอดภัยขั้นพื้นฐานวิธีการทำงานบันทึกและวิธีการตีความและตำแหน่งของไฟล์ config ต่างๆและความหมายของคำสั่งและวิธีกำหนดค่า IPTables ก่อนที่คุณจะติดตั้งและใช้เซิร์ฟเวอร์ Linux จำกัด การเข้าสู่ระบบ "ที่อยู่ IP แบบคงที่" และ จำกัด / attrick เข้าสู่ระบบ attemps:

BASIC SSH config directives ที่ จำกัด การล็อกอินและอนุญาตการล็อกอินจากผู้ใช้และที่อยู่ IP เฉพาะ:

LoginGraceTime 30
MaxStartups 3:50:10
MaxAuthTries 4
PermitRootLogin no
AllowUsers YourUserName@YourIPAddress
PubkeyAuthentication yes
AuthorizedKeysFile   %h/.ssh/authorized_keys
PasswordAuthentication no

อย่าลืม "รีสตาร์ท" บริการ SSH หลังจากแก้ไข

กฎ IPTables พื้นฐานซึ่งอนุญาตการเชื่อมต่อ SSH จากที่อยู่ IP แบบคงที่เท่านั้น:

*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW                                 -j DROP
-A INPUT -m state --state INVALID -j DROP
-A INPUT -f -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN FIN,SYN -j DROP
-A INPUT -p tcp -m tcp --tcp-flags SYN,RST SYN,RST -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,RST FIN,RST -j DROP
-A INPUT -p tcp -m tcp --tcp-flags PSH,ACK PSH -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,ACK FIN -j DROP
-A INPUT -p tcp -m tcp --tcp-flags ACK,URG URG -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,PSH,ACK,URG -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,PSH,URG -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,PSH,URG -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,ACK,URG -j DROP
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp -s YourStaticIPAddress -m multiport --dports SSHPortNumber -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
-A INPUT -j DROP
-A FORWARD -j DROP
COMMIT

อย่าลืม "กู้คืน" ตาราง IP หลังจากการเปลี่ยนแปลง

บน LAN หรือในสภาพแวดล้อมคลาวด์ "โฮสต์" อย่าลืมรักษาความปลอดภัยด้าน "ส่วนตัว" (อะแดปเตอร์เครือข่าย) ศัตรูของคุณมักจะสามารถเข้าถึงเครือข่ายของคุณและเข้ามาทางประตูหลังได้แล้ว

หากคุณอยู่ในสภาพแวดล้อมแบบคลาวด์เช่น RackSpace หรือ DigitalOcean และคุณทำสิ่งต่าง ๆ ที่ไม่เป็นไปตามข้อกำหนดและล็อคตัวเองคุณสามารถเข้าไปที่คอนโซลและแก้ไขได้ ทำให้สำเนาของไฟล์กำหนดค่าก่อนที่จะแก้ไขพวกเขา !!!