NÂNG CẤP POSSIBLE BREAK-IN ATTEMPT! Rằng trong / var / log / safe - điều này có nghĩa là gì?

96

Tôi đã có một hộp CentOS 5.x chạy trên nền tảng VPS. Máy chủ VPS của tôi giải thích sai một yêu cầu hỗ trợ mà tôi có về kết nối và thực hiện một cách hiệu quả một số quy tắc iptables. Điều này dẫn đến việc nghe ssh trên cổng tiêu chuẩn và thừa nhận các kiểm tra kết nối cổng. Làm phiền.

Tin vui là tôi yêu cầu các khóa được ủy quyền của SSH. Theo như tôi có thể nói, tôi không nghĩ có bất kỳ vi phạm thành công nào. Tôi vẫn rất quan tâm về những gì tôi thấy trong / var / log / safe:

Apr 10 06:39:27 echo sshd[22297]: reverse mapping checking getaddrinfo for 222-237-78-139.tongkni.co.kr failed - POSSIBLE BREAK-IN ATTEMPT!
Apr 10 13:39:27 echo sshd[22298]: Received disconnect from 222.237.78.139: 11: Bye Bye
Apr 10 06:39:31 echo sshd[22324]: Invalid user edu1 from 222.237.78.139
Apr 10 06:39:31 echo sshd[22324]: reverse mapping checking getaddrinfo for 222-237-78-139.tongkni.co.kr failed - POSSIBLE BREAK-IN ATTEMPT!
Apr 10 13:39:31 echo sshd[22330]: input_userauth_request: invalid user edu1
Apr 10 13:39:31 echo sshd[22330]: Received disconnect from 222.237.78.139: 11: Bye Bye
Apr 10 06:39:35 echo sshd[22336]: Invalid user test1 from 222.237.78.139
Apr 10 06:39:35 echo sshd[22336]: reverse mapping checking getaddrinfo for 222-237-78-139.tongkni.co.kr failed - POSSIBLE BREAK-IN ATTEMPT!
Apr 10 13:39:35 echo sshd[22338]: input_userauth_request: invalid user test1
Apr 10 13:39:35 echo sshd[22338]: Received disconnect from 222.237.78.139: 11: Bye Bye
Apr 10 06:39:39 echo sshd[22377]: Invalid user test from 222.237.78.139
Apr 10 06:39:39 echo sshd[22377]: reverse mapping checking getaddrinfo for 222-237-78-139.tongkni.co.kr failed - POSSIBLE BREAK-IN ATTEMPT!
Apr 10 13:39:39 echo sshd[22378]: input_userauth_request: invalid user test
Apr 10 13:39:39 echo sshd[22378]: Received disconnect from 222.237.78.139: 11: Bye Bye

Chính xác thì "POSSIBLE BREAK-IN ATTEMPT" nghĩa là gì? Đó là thành công? Hoặc nó không giống như IP mà yêu cầu đến từ đâu?

linux  security  ssh  centos 
Mike B
nguồn

Câu trả lời:

78

Thật không may, điều này bây giờ rất phổ biến. Đây là một cuộc tấn công tự động vào SSH đang sử dụng tên người dùng 'phổ biến' để thử và xâm nhập vào hệ thống của bạn. Thông báo có nghĩa chính xác những gì nó nói, nó không có nghĩa là bạn đã bị hack, chỉ là ai đó đã thử.

Iain
nguồn
Cảm ơn Lain. Điều đó làm cho tôi cảm thấy tốt hơn. Tôi thực sự rất vui vì tôi yêu cầu khóa ủy quyền cho ssh. =)
Mike B
28
"Kiểm tra ánh xạ ngược getaddrinfo cho" nói thêm về IP / tên máy chủ được tạo. Lưu lượng truy cập được tạo thủ công tương tự đang thử tên người dùng xấu, nhưng tên người dùng xấu không tạo ra thông báo "POSSIBLE BREAK-IN ATTEMPT".
toxbit
11
@MikeyB: Bạn có thể muốn xem thêm fail2ban vào hệ thống của mình. Chúng có thể được cấu hình để tự động chặn địa chỉ IP của những kẻ tấn công này.
user9517
9
Lưu ý rằng 'ánh xạ ngược không thành công' có thể chỉ đơn giản là ISP của người dùng không cấu hình DNS ngược chính xác, điều này khá phổ biến. Xem câu trả lời của @Gaia.
Wilfred Hughes
1
Điều này là không chính xác, nó chỉ có nghĩa là DNS ngược không khớp với tên máy chủ mà khách hàng đã gửi để nhận dạng chính họ. Nó có khả năng bị gắn cờ vì đó có thể là một nỗ lực cho những người sử dụng .rhostshoặc .shostsxác thực (tôi chưa bao giờ thấy rằng đã sử dụng). Quét xảy ra, nhưng đó không phải là những gì bài này là về (mặc dù bất kỳ kết nối có thể kích hoạt nó) (Để quét, các auth / tin nhắn người dùng không biết thất bại là tốt hơn để tìm kiếm)
Gert van den Berg
52

Phần "POSSIBLE BREAK-IN ATTEMPT" cụ thể, có liên quan đến phần "kiểm tra ánh xạ ngược getaddrinfo không thành công". Điều đó có nghĩa là người đang kết nối không có DNS chuyển tiếp và đảo ngược được định cấu hình chính xác. Điều này khá phổ biến, đặc biệt là đối với các kết nối ISP, nơi mà "cuộc tấn công" có thể đến từ đó.

Không liên quan đến thông báo "POSSIBLE BREAK-IN ATTEMPT", người này thực sự đang cố gắng sử dụng tên người dùng và mật khẩu phổ biến. Không sử dụng mật khẩu đơn giản cho SSH; trong thực tế, ý tưởng tốt nhất để vô hiệu hóa hoàn toàn mật khẩu và chỉ sử dụng các khóa SSH.

Chris S
nguồn
1
Nếu nó được tạo bởi kết nối (hợp lệ) thông qua ISP, bạn có thể thêm một mục vào tệp / etc / hosts để thoát khỏi lỗi ánh xạ ngược này. Rõ ràng bạn chỉ làm điều này nếu bạn biết rằng lỗi là lành tính và muốn dọn sạch nhật ký của bạn.
artfulrobot
32

"Chính xác thì" POSSIBLE BREAK-IN ATTEMPT "nghĩa là gì?"

Điều này có nghĩa là chủ sở hữu netblock đã không cập nhật bản ghi PTR cho IP tĩnh trong phạm vi của họ và cho biết bản ghi PTR đã lỗi thời, HOẶC ISP không thiết lập bản ghi ngược thích hợp cho khách hàng IP động của mình. Điều này rất phổ biến, ngay cả đối với các ISP lớn.

Cuối cùng, bạn nhận được thông điệp trong nhật ký của mình vì ai đó đến từ IP có hồ sơ PTR không đúng (do một trong những lý do ở trên) đang cố sử dụng tên người dùng phổ biến để thử SSH vào máy chủ của bạn (có thể là một cuộc tấn công tàn bạo hoặc có thể là một lỗi trung thực ).

Để tắt các cảnh báo này, bạn có hai lựa chọn:

1) Nếu bạn có IP tĩnh , hãy thêm ánh xạ ngược vào tệp / etc / hosts của bạn (xem thêm thông tin tại đây ):

10.10.10.10 server.remotehost.com

2) Nếu bạn có một IP động và thực sự muốn làm cho các cảnh báo đó biến mất, hãy nhận xét "GSSAPIAuthentication yes" trong tệp / etc / ssh / sshd_config của bạn.

Gaia
nguồn
2
bình luận GSSAPIAuthenticationkhông giúp ích gì trong trường hợp của tôi (
THIẾT LẬP
UseDNS nocó lẽ là cài đặt tốt hơn để loại bỏ nó (và đăng nhập chậm khi máy chủ gặp sự cố DNS ...)
Gert van den Berg
15

Bạn có thể làm cho nhật ký của mình dễ đọc và kiểm tra hơn bằng cách tắt tra cứu ngược trong sshd_config (UseDNS no). Điều này sẽ ngăn sshd ghi nhật ký các dòng "tiếng ồn" có chứa "POSSIBLE BREAK-IN ATTEMPT" để bạn tập trung vào các dòng thú vị hơn một chút có chứa "NGƯỜI DÙNG người dùng không hợp lệ từ IPADDRESS".

TimT
nguồn
4
Nhược điểm của việc vô hiệu hóa tra cứu ngược sshd trên máy chủ được kết nối với Internet công cộng là gì? Có bất kỳ sự đảo lộn nào để bật tùy chọn này không?
Eddie
2
@Eddie Tôi không nghĩ việc tra cứu DNS được thực hiện bởi sshd phục vụ bất kỳ mục đích hữu ích nào. Có hai lý do tốt để vô hiệu hóa tra cứu DNS. Việc tra cứu DNS có thể làm chậm đăng nhập nếu hết thời gian tra cứu. Và các thông báo "POSSIBLE BREAK-IN ATTEMPT" trong nhật ký là sai lệch. Tất cả thông điệp thực sự có nghĩa là máy khách đã cấu hình sai DNS.
kasperd
1
Tôi không đồng ý @OlafM - "UseDNS no" nói với sshd không thực hiện kiểm tra ánh xạ ngược và do đó nó sẽ không thêm bất kỳ dòng nào có chứa "POSSIBLE BREAK-IN ATTEMPT" vào nhật ký hệ thống. Là một tác dụng phụ, nó cũng có thể tăng tốc các nỗ lực kết nối từ máy chủ hơn là không cấu hình DNS chính xác.
TimT
1
Có @OlafM Tôi đã làm, khoảng 4-5 năm trước trên Linux. Nó rút ngắn đáng kể nhật ký của tôi và ngừng logchecklàm phiền tôi với các báo cáo email vô giá trị.
TimT
1
Việc sử dụng chính UseDNSlà cho (ý tưởng tồi để sử dụng) .rhosts.shostsxác thực ( HostbasedAuthentication). (Và các Fromlựa chọn phù hợp trong cấu hình sshd và authorized_keys) (Có một thiết lập riêng biệt HostbasedUsesNameFromPacketOnlymặc dù đó có thể là cần thiết để chuyển đổi các tra cứu ngược lại cho máy chủ dựa auth là tốt, ý tưởng tồi tệ hơn so với sử dụng Hostsbasedauthentication ...)
Gert van den Berg
5

Không cần thiết phải đăng nhập thành công, nhưng những gì nó nói là "rõ ràng" và "cố gắng".

Một số bad boy hoặc kiddie script, đang gửi cho bạn lưu lượng truy cập được tạo bằng IP gốc sai.

Bạn có thể thêm các giới hạn IP gốc vào các khóa SSH của mình và thử một cái gì đó như fail2ban.

chất độc
nguồn
2
Cảm ơn. Tôi có iptables được đặt thành chỉ cho phép kết nối ssh từ các nguồn được chọn. Tôi cũng đã cài đặt fail2ban và chạy.
Mike B
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.