题 / var / log / secure中的“可能的突破!” - 这是什么意思?


我在VPS平台上运行了一个CentOS 5.x盒子。我的VPS主机误解了我对连接的支持查询,并有效地刷新了一些iptables规则。这导致ssh监听标准端口并确认端口连接测试。烦人。

好消息是我需要SSH授权密钥。据我所知,我认为没有任何成功的违规行为。我仍然非常关心我在/ var / log / secure中看到的内容:


Apr 10 06:39:27 echo sshd[22297]: reverse mapping checking getaddrinfo for 222-237-78-139.tongkni.co.kr failed - POSSIBLE BREAK-IN ATTEMPT!
Apr 10 13:39:27 echo sshd[22298]: Received disconnect from 222.237.78.139: 11: Bye Bye
Apr 10 06:39:31 echo sshd[22324]: Invalid user edu1 from 222.237.78.139
Apr 10 06:39:31 echo sshd[22324]: reverse mapping checking getaddrinfo for 222-237-78-139.tongkni.co.kr failed - POSSIBLE BREAK-IN ATTEMPT!
Apr 10 13:39:31 echo sshd[22330]: input_userauth_request: invalid user edu1
Apr 10 13:39:31 echo sshd[22330]: Received disconnect from 222.237.78.139: 11: Bye Bye
Apr 10 06:39:35 echo sshd[22336]: Invalid user test1 from 222.237.78.139
Apr 10 06:39:35 echo sshd[22336]: reverse mapping checking getaddrinfo for 222-237-78-139.tongkni.co.kr failed - POSSIBLE BREAK-IN ATTEMPT!
Apr 10 13:39:35 echo sshd[22338]: input_userauth_request: invalid user test1
Apr 10 13:39:35 echo sshd[22338]: Received disconnect from 222.237.78.139: 11: Bye Bye
Apr 10 06:39:39 echo sshd[22377]: Invalid user test from 222.237.78.139
Apr 10 06:39:39 echo sshd[22377]: reverse mapping checking getaddrinfo for 222-237-78-139.tongkni.co.kr failed - POSSIBLE BREAK-IN ATTEMPT!
Apr 10 13:39:39 echo sshd[22378]: input_userauth_request: invalid user test
Apr 10 13:39:39 echo sshd[22378]: Received disconnect from 222.237.78.139: 11: Bye Bye

“可能的突破”是什么意思?它成功了吗?或者它不喜欢请求来自的IP?


86
2018-04-17 18:17






答案:


不幸的是,这在现在很常见。这是对SSH的自动攻击,它使用“常见”用户名来尝试侵入您的系统。这条消息的意思正是它所说的,并不意味着你被黑了,只是有人试过。


75
2018-04-17 22:06



谢谢Lain。这让我感觉好多了。我很高兴我需要ssh的授权密钥。 =) - Mike B
“反向映射检查getaddrinfo for”更多关于源IP /主机名的制作。相同的制作流量正在尝试错误的用户名,但错误的用户名不会生成“可能的BREAK-IN ATTEMPT”消息。 - poisonbit
@MikeyB:您可能想看看添加 的fail2ban 给你系统。可以将其配置为自动阻止这些攻击者的IP地址。 - Iain
@poisonbit:你的权利意味着有一个反向查找,然后反过来不会解析为A记录,但在这一轮中,它都是同一自动攻击的一部分。 - Iain
请注意,“反向映射失败”只是意味着用户的ISP没有正确配置反向DNS,这很常见。见@Gaia的回答。 - Wilfred Hughes


具体而言,“可能的突破 - 尝试”部分与“反向映射检查getaddrinfo失败”部分有关。这意味着正在连接的人没有正确配置正向和反向DNS。这很常见,特别是对于ISP连接,这可能是“攻击”的来源。

与“可能的BREAK-IN ATTEMPT”消息无关,该人实际上试图使用常见的用户名和密码。不要使用简单的SSH密码;事实上,最好完全禁用密码并仅使用SSH密钥。


49
2017-10-23 20:16



如果它是通过ISP的(有效)连接生成的,则可以在/ etc / hosts文件中添加一个条目以消除此反向映射错误。显然,如果您知道错误是良性的并且想要清理日志,那么您只会执行此操作。 - artfulrobot


“究竟什么是”可能的突破“?意思是什么?”

这意味着netblock所有者没有更新其范围内的静态IP的PTR记录,并且说PTR记录已过时, 要么 ISP没有为其动态IP客户设置正确的反向记录。这很常见,即使对于大型ISP也是如此。

你最终得到了你的日志中的消息,因为来自IP的人有不正确的PTR记录(由于上述原因之一)正在尝试使用普通用户名来尝试SSH进入你的服务器(可能是暴力攻击,或者可能是一个诚实的错误)。

要禁用这些警报,您有两种选择:

1) 如果您有静态IP,将反向映射添加到/ etc / hosts文件中(请参阅更多信息 这里):

10.10.10.10 server.remotehost.com

2) 如果您有动态IP 并且真的想让这些警报消失,在/ etc / ssh / sshd_config文件中注释掉“GSSAPIAuthentication yes”。


30
2018-01-12 10:33



评论 GSSAPIAuthentication 在我的情况下没有帮助( - SET


您可以使日志更易于阅读和检查 关闭反向查看 在sshd_config中(UseDNS否)。这将阻止sshd记录包含“可能的BREAK-IN ATTEMPT”的“噪音”行,让您专注于包含“来自IPADDRESS的无效用户USER”的更有趣的行。


13
2018-04-17 18:23



在连接到公共Internet的服务器上禁用sshd反向查找的缺点是什么?启用此选项是否有任何好处? - Eddie
@Eddie我不认为sshd执行的DNS查找有任何有用的用途。禁用DNS查找有两个很好的理由。如果查找超时,DNS查找可能会降低登录速度。日志中的“可能的BREAK-IN ATTEMPT”消息具有误导性。所有这些消息的确意味着客户端配置错误的DNS。 - kasperd
@kasperd UseDNS 如果需要/想要使用主机名,则需要 from= 指令 authorized_keys 文件。 - gf_
我不同意@OlafM - “UseDNS no”告诉sshd不执行反向映射检查,因此它不会在系统日志中添加任何包含“可能的BREAK-IN ATTEMPT”的行。作为副作用,它还可以加速来自主机的连接尝试,而不是正确配置反向DNS。 - TimT
是的@OlafM我在大约4 - 5年前在Linux上做过。它大大缩短了我的日志并停了下来 logcheck 用无价值的电子邮件报告打扰我。 - TimT


没有必要成功登录,但它说“可行”和“尝试”。

一些坏男孩或脚本小子,正在向您发送带有虚假来源IP的精心制作的流量。

您可以将原始IP限制添加到SSH密钥,并尝试使用fail2ban。


5



谢谢。我将iptables设置为仅允许来自选择源的ssh连接。我也安装并运行了fail2ban。 - Mike B