Назад | Перейти на главную страницу

Подозрительные записи журнала ssh («Не принято для анонимных»)

Я получил эту цепочку записей журнала (и аналогичные неоднократно) на моем сервере:

Nov 24 07:38:59 server sshd[28676]: SSH: Server;Ltype: Version;Remote: 54.38.81.12-40482;Protocol: 2.0;Client: OpenSSH_7.2p2 Ubuntu-4ubuntu2.4
Nov 24 07:38:59 server sshd[28676]: SSH: Server;Ltype: Kex;Remote: 54.38.81.12-40482;Enc: aes128-cbc;MAC: umac-64-etm@openssh.com;Comp: none [preauth]
Nov 24 07:39:00 server sshd[28676]: SSH: Server;Ltype: Authname;Remote: 54.38.81.12-40482;Name: anonymous [preauth]
Nov 24 07:39:00 server sshd[28676]: Accepted none for anonymous from 54.38.81.12 port 40482 ssh2
Nov 24 07:39:01 server sshd[28681]: refused local port forward: originator 127.0.0.1 port 46338, target 167.114.159.146 port 80
Nov 24 07:39:01 server sshd[28681]: refused local port forward: originator 127.0.0.1 port 47552, target 167.114.159.146 port 80
...
Nov 24 07:39:19 server sshd[28681]: Disconnected from 54.38.81.12

Я почти уверен, что это была хакерская атака, но как узнать, была ли она успешной? Особенно непонятно сообщение «Не принято для анонимного». Означает ли это, что у меня есть учетная запись пользователя с именем анонимный которому разрешен вход без пароля, и хакер вошел в систему как анонимный и пытались перенаправить некоторые локальные порты (и могут быть некоторые из них, которые были перенаправлены успешно, поэтому они не попали в журнал)?

Пытался войти как анонимный стандартным способом из локальной сети (ssh anonymous@server) но получил доступ запрещен сообщение.

Если меня не взламывали, как мне защититься от такого рода атак? Уже установлено fail2ban из-за других подозрительных записей журнала, но это произошло после установки.

Изменить 1:

Проверил /etc/ssh/sshd_config файл и обнаружил, что PermitEmptyPasswords был установлен на no. Так что все должно быть в порядке.

Изменить 2:

Я не знаю /proc файловая система, но вот что я обнаружил:

user@server:~$ sudo file /proc/5931/exe
/proc/5931/exe: broken symbolic link to /usr/bin/sshd
user@server:~$ sudo which sshd
/usr/sbin/sshd

ОК, file утилита сообщает, что это неработающая символическая ссылка, но если я попробую sudo hexdump /proc/5931/exe Я получаю данные. Это нормально?

Изменить 3:

Теперь я знаю, в чем причина Редактировать 2. Я смешиваю две системы вместе. Я запускаю Chrooted Debian Stretch на Synology NAS. И есть процессы как из этого Debian, так и из Synology DSM в файловой системе / proc. Каждая из систем имеет другое местоположение исполняемого файла sshd.

Изменить 4:

Это то, что less /proc/*/cmdline показывает:

/usr/bin/sshd^@
sshd: user [priv]
sshd: user@pts/4^@
/usr/sbin/sshd^@
sshd: user [priv]
sshd: user@pts/3^@

Изменить 5:

Я знаю, что здесь показан не сам подозрительный логин. (Заменить user с моим именем пользователя (этот вывод полностью анонимизирован). Проблема в том, что мне нужно было отслеживать процесс, пока анонимный Пользователь вошел в систему. Он внезапно отключается, и я не могу наблюдать за процессом вживую. Как мне создать ловушку, чтобы я мог реагировать на анонимный Логин пользователя?

Понял, что пользователь анонимный присутствует только в системе Synology DSM. Возможно ли, что журналы из системы DSM записываются также в chrooted Debian? Пытался отключить службы FTP и SFTP, потому что этот пользователь принадлежит ftp группа, но пользователь остается там. Нет ни passwd ни usermod в системе DSM, поэтому я не знаю, как отключить доступ для этого пользователя. анонимный его оболочка установлена ​​на /sbin/nologin поэтому не должно быть даже возможности войти в систему через SSH и попробовать перенаправить порт.

Изменить 6:

Изучил конфигурацию SSH в системе Synology DSM. Я изменил некоторые настройки:

#PermitEmptyPasswords no -> раскомментированный

# allow the use of the none cipher
#NoneEnabled no # uncommented

Edit 6, похоже, решил проблему (по крайней мере, такие журналы атак исчезли):

Изучил конфигурацию SSH в системе Synology DSM. Ну, я изменил некоторые настройки:

#PermitEmptyPasswords no -> раскомментированный

# allow the use of the none cipher
#NoneEnabled no # uncommented