У меня есть CentOS 5.x, работающий на платформе VPS. Мой хост VPS неверно истолковал мой запрос службы поддержки о подключении и эффективно удалил некоторые правила iptables. Это привело к тому, что ssh прослушивает стандартный порт и подтверждает тесты подключения порта. Раздражает.
Хорошая новость в том, что мне нужны авторизованные ключи SSH. Насколько я могу судить, я не думаю, что это было успешное нарушение. Я все еще очень обеспокоен тем, что вижу в / var / log / secure:
Apr 10 06:39:27 echo sshd[22297]: reverse mapping checking getaddrinfo for 222-237-78-139.tongkni.co.kr failed - POSSIBLE BREAK-IN ATTEMPT!
Apr 10 13:39:27 echo sshd[22298]: Received disconnect from 222.237.78.139: 11: Bye Bye
Apr 10 06:39:31 echo sshd[22324]: Invalid user edu1 from 222.237.78.139
Apr 10 06:39:31 echo sshd[22324]: reverse mapping checking getaddrinfo for 222-237-78-139.tongkni.co.kr failed - POSSIBLE BREAK-IN ATTEMPT!
Apr 10 13:39:31 echo sshd[22330]: input_userauth_request: invalid user edu1
Apr 10 13:39:31 echo sshd[22330]: Received disconnect from 222.237.78.139: 11: Bye Bye
Apr 10 06:39:35 echo sshd[22336]: Invalid user test1 from 222.237.78.139
Apr 10 06:39:35 echo sshd[22336]: reverse mapping checking getaddrinfo for 222-237-78-139.tongkni.co.kr failed - POSSIBLE BREAK-IN ATTEMPT!
Apr 10 13:39:35 echo sshd[22338]: input_userauth_request: invalid user test1
Apr 10 13:39:35 echo sshd[22338]: Received disconnect from 222.237.78.139: 11: Bye Bye
Apr 10 06:39:39 echo sshd[22377]: Invalid user test from 222.237.78.139
Apr 10 06:39:39 echo sshd[22377]: reverse mapping checking getaddrinfo for 222-237-78-139.tongkni.co.kr failed - POSSIBLE BREAK-IN ATTEMPT!
Apr 10 13:39:39 echo sshd[22378]: input_userauth_request: invalid user test
Apr 10 13:39:39 echo sshd[22378]: Received disconnect from 222.237.78.139: 11: Bye Bye
Что именно означает "ВОЗМОЖНАЯ ПОПЫТКА ВБИТИЯ"? Что это было успешным? Или ему не понравился IP-адрес, с которого пришел запрос?
К сожалению, сейчас это очень частое явление. Это автоматическая атака на SSH, при которой используются «общие» имена пользователей, чтобы попытаться проникнуть в вашу систему. Сообщение означает именно то, что в нем говорится, это не означает, что вас взломали, просто то, что кто-то пытался.
В частности, часть «ВОЗМОЖНАЯ ПОПЫТКА ВЗРЫВА» связана с частью «сбой при проверке обратного отображения getaddrinfo». Это означает, что у человека, который подключается, неправильно настроен прямой и обратный DNS. Это довольно часто, особенно для подключений к интернет-провайдеру, откуда, вероятно, исходила «атака».
Вне связи с сообщением «ВОЗМОЖНАЯ ПОПЫТКА ВЗЛОМА», человек фактически пытается взломать, используя общие имена пользователей и пароли. Не используйте простые пароли для SSH; Фактически, лучшая идея - полностью отключить пароли и использовать только ключи SSH.
«Что именно означает« ВОЗМОЖНАЯ ПОПЫТКА ВЗРЫВА »?»
Это означает, что владелец сетевого блока не обновил запись PTR для статического IP-адреса в пределах своего диапазона, и указанная запись PTR устарела, ИЛИ Интернет-провайдер не устанавливает надлежащие обратные записи для своих клиентов с динамическим IP. Это очень распространено даже для крупных интернет-провайдеров.
В конечном итоге вы получаете сообщение в своем журнале, потому что кто-то, пришедший с IP-адреса с неправильными записями PTR (по одной из вышеуказанных причин), пытается использовать общие имена пользователей, чтобы попробовать SSH на вашем сервере (возможно, атака грубой силой или, может быть, честная ошибка ).
Чтобы отключить эти предупреждения, у вас есть два варианта:
1) Если у вас статический IPдобавьте обратное отображение в файл / etc / hosts (см. дополнительную информацию Вот):
10.10.10.10 server.remotehost.com
2) Если у вас динамический IP и действительно хотите, чтобы эти предупреждения исчезли, закомментируйте «GSSAPIAuthentication yes» в файле / etc / ssh / sshd_config.
Вы можете упростить чтение и проверку журналов, отключение обратного просмотра в sshd_config (UseDNS нет). Это предотвратит регистрацию sshd строк "шума", содержащих "POSSIBLE BREAK-IN ATTEMPT", и вы сможете сосредоточиться на немного более интересных строках, содержащих "Invalid user USER from IPADDRESS".
Необязательно успешный вход в систему, а только то, что написано «возможно» и «попытка».
Какой-то плохой мальчик или скрипач отправляет вам искусственный трафик с ложным IP-адресом.
Вы можете добавить ограничения IP-адреса источника к своим SSH-ключам и попробовать что-то вроде fail2ban.