Этот сервер взломан или просто попытки входа в систему? Посмотреть журнал

lastb показывает только логин неудачи. Использовать last чтобы увидеть успешный вход.

Он показывает людей, пытающихся загрузить или загрузить контент. Часть "notty" означает отсутствие tty (где tty - сокращение от teletype), что в наши дни означает отсутствие монитора или графического интерфейса, а ssh указывает порт 22, которые вместе означают что-то вроде scp или rsync.

Так что не взлома или попыток входа в систему, а неправильных или опечаток паролей. Возможно, какой-то контент был обнаружен через Google, но для этого требуется пароль, который кто-то пытался угадать.

На самом деле, поразмыслив, вышесказанное неверно. Это могли быть неудачные попытки входа в систему через ssh, как подозревал спрашивающий; и (как я пропустил в первый раз) они выполняются с регулярными интервалами в 21 или 22 минуты, что предполагает определенную степень автоматизации, но lastb показывает отказы по определению, поэтому эти результаты нужно будет сравнить с last чтобы узнать, были ли какие-либо успешными.

Закройте порт 22. Настройте sshd для прослушивания на другом порту, а также установите и запустите denyhosts.

Почему не использовать последний ?? Используйте последнюю команду и ищите IP-адреса из Китая или за пределами США.

Также ... мужчина твой друг мужчина lasttb

Lastb - то же самое, что и last, за исключением того, что по умолчанию он показывает журнал файла / var / log / btmp, который содержит все неудачные попытки входа в систему.

Да, похоже, это попытки входа в систему, поскольку один и тот же IP-адрес использовал несколько имен пользователей для попытки входа. Скорее всего, это атака грубой силы.

Чтобы решить эту проблему:

Установите Fail2Ban и заблокируйте неудачные попытки входа в систему с помощью -1, что сделает их бан постоянным.

Добавьте файл тюрьмы для защиты SSH. Создайте новый файл с помощью редактора Nano или vi, vim

нано /etc/fail2ban/jail.d/sshd.local

В указанный выше файл добавьте следующие строки кода.

[sshd]

enabled = true

порт = ssh

"#" действие = firewallcmd-ipset

logpath =% (sshd_log) s

maxretry = 5

bantime = -1

RE: lastb

Записи "ssh: notty" / var / log / btmp указывают на неудачные попытки входа в систему с номера порта SSH, назначенного в "/ etc / ssh / sshd_config".

По соображениям безопасности порт SSH обычно меняется на номер, отличный от «22». Таким образом, «ssh» в этом контексте просто означает текущий назначенный (не 22) номер порта SSH.

Поскольку для перехода на экран входа в систему всегда ДОЛЖНО требоваться успешное подтверждение сертификата SSH, любые записи журнала «ssh: notty», скорее всего, являются результатом ваших собственных неудачных попыток входа в систему; обычно из-за ошибочного ввода имени пользователя. Обратите внимание на IP-адрес, связанный с записью журнала ... вероятно, он ваш собственный!

«notty» означает «нет tty».

Изучите основы безопасности, как это работает, где находятся журналы и как их интерпретировать, а также где находятся различные файлы конфигурации и что означают директивы, и как настраивать IPTables, прежде чем устанавливать и использовать сервер Linux. Ограничьте вход в систему «статическим IP-адресом» и ограничьте / ограничьте попытки входа в систему:

Директивы конфигурации BASIC SSH, которые ограничивают вход в систему и разрешают вход только от определенных пользователей и IP-адресов:

LoginGraceTime 30
MaxStartups 3:50:10
MaxAuthTries 4
PermitRootLogin no
AllowUsers YourUserName@YourIPAddress
PubkeyAuthentication yes
AuthorizedKeysFile   %h/.ssh/authorized_keys
PasswordAuthentication no

Не забудьте «перезапустить» службу SSH после редактирования.

БАЗОВЫЕ правила IPTables, которые разрешают SSH-соединения только с определенного статического IP-адреса:

*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW                                 -j DROP
-A INPUT -m state --state INVALID -j DROP
-A INPUT -f -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN FIN,SYN -j DROP
-A INPUT -p tcp -m tcp --tcp-flags SYN,RST SYN,RST -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,RST FIN,RST -j DROP
-A INPUT -p tcp -m tcp --tcp-flags PSH,ACK PSH -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,ACK FIN -j DROP
-A INPUT -p tcp -m tcp --tcp-flags ACK,URG URG -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,PSH,ACK,URG -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,PSH,URG -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,PSH,URG -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,ACK,URG -j DROP
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp -s YourStaticIPAddress -m multiport --dports SSHPortNumber -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
-A INPUT -j DROP
-A FORWARD -j DROP
COMMIT

Не забывайте «восстанавливать» таблицы IP после изменений.

В локальной сети или в «размещенной» облачной среде не забудьте защитить «частную» сторону (сетевой адаптер). Ваши враги часто уже имеют доступ к вашей сети и входят через черный ход.

Если вы находитесь в облачной среде, такой как RackSpace или DigitalOcean, и вы нарушаете конфигурации и блокируете себя, вы всегда можете войти через консоль и исправить это. ВСЕГДА ДЕЛАЙТЕ КОПИИ КОНФИГ-ФАЙЛОВ ПЕРЕД ИХ РЕДАКТИРОВАНИЕ !!!