"МОЖЛИВО ВРУШИТИ НАЗАД!" В / var / log / secure - що це означає?


96

У мене вікно CentOS 5.x працює на платформі VPS. Мій хост VPS неправильно інтерпретував запит про підтримку, який я мав про підключення, і ефективно очистив деякі правила iptables. Це призвело до прослуховування ssh на стандартному порту та визнання тестів на з'єднання портів. Дратівливий.

Хороша новина полягає в тому, що мені потрібні авторизовані ключі SSH. Наскільки я можу сказати, я не думаю, що було жодного успішного порушення. Я все ще дуже стурбований тим, що я бачу в / var / log / secure, хоча:


Apr 10 06:39:27 echo sshd[22297]: reverse mapping checking getaddrinfo for 222-237-78-139.tongkni.co.kr failed - POSSIBLE BREAK-IN ATTEMPT!
Apr 10 13:39:27 echo sshd[22298]: Received disconnect from 222.237.78.139: 11: Bye Bye
Apr 10 06:39:31 echo sshd[22324]: Invalid user edu1 from 222.237.78.139
Apr 10 06:39:31 echo sshd[22324]: reverse mapping checking getaddrinfo for 222-237-78-139.tongkni.co.kr failed - POSSIBLE BREAK-IN ATTEMPT!
Apr 10 13:39:31 echo sshd[22330]: input_userauth_request: invalid user edu1
Apr 10 13:39:31 echo sshd[22330]: Received disconnect from 222.237.78.139: 11: Bye Bye
Apr 10 06:39:35 echo sshd[22336]: Invalid user test1 from 222.237.78.139
Apr 10 06:39:35 echo sshd[22336]: reverse mapping checking getaddrinfo for 222-237-78-139.tongkni.co.kr failed - POSSIBLE BREAK-IN ATTEMPT!
Apr 10 13:39:35 echo sshd[22338]: input_userauth_request: invalid user test1
Apr 10 13:39:35 echo sshd[22338]: Received disconnect from 222.237.78.139: 11: Bye Bye
Apr 10 06:39:39 echo sshd[22377]: Invalid user test from 222.237.78.139
Apr 10 06:39:39 echo sshd[22377]: reverse mapping checking getaddrinfo for 222-237-78-139.tongkni.co.kr failed - POSSIBLE BREAK-IN ATTEMPT!
Apr 10 13:39:39 echo sshd[22378]: input_userauth_request: invalid user test
Apr 10 13:39:39 echo sshd[22378]: Received disconnect from 222.237.78.139: 11: Bye Bye

Що саме означає "МОЖЛИВА НАРУШЕННЯ НАПРЯМИ"? Щоб це було успішно? Або що IP не сподобався, від якого надходив запит?

Відповіді:


78

На жаль, це зараз дуже поширене явище. Це автоматизована атака на SSH, яка використовує 'загальні' імена користувачів для спроби проникнення у вашу систему. Повідомлення означає саме те, що воно говорить, це не означає, що вас зламали, просто те, що хтось намагався.


Спасибі Лайн. Це робить мене відчувати себе краще. Я дуже радий, що мені потрібні авторизовані ключі для ssh. =)
Майк Б

28
"Зворотне відображення перевірки цьогоддрінфо на" - це більше про джерело IP / ім'я хоста, створене. Той самий створений трафік намагається погано використовувати імена користувачів, але неправильні імена користувачів не генерують повідомлення "МОЖЛИВО ВЗАЄМО ВІДТВОРЕННЯ".
отруєний

11
@MikeyB: Ви можете поглянути на додавання fail2ban до вашої системи. Це можна налаштувати для автоматичного блокування IP-адрес цих зловмисників.
користувач9517

9
Зауважте, що "зворотне відображення не вдалося" може просто означати, що ISP користувача неправильно налаштував зворотний DNS, що є досить поширеним явищем. Дивіться відповідь @Gaia.
Вільфред Х'юз

1
Це неточно, це просто означає, що зворотний DNS не відповідає імені хоста, який клієнт відправляє ідентифікувати себе. Це, ймовірно, позначено прапором, оскільки це могло бути спробою в спробі людей, які використовують .rhostsчи .shostsавтентифікацію (я ніколи не бачив, щоб це використовувалося). Сканування трапляється, але це не те, про що йдеться у цьому повідомленні (хоча будь-яке з'єднання може його викликати) (Для сканування краще не шукати повідомлення про автори / невідомі користувачі)
Герт ван ден Берг

52

Частина "МОЖЛИВО ВЗАЄМО ЗАРАЗ" конкретно пов'язана з частиною "Невдале відображення перевірки відображення цьогоддрінфо". Це означає, що особа, яка з'єднувалась, не мала правильно налаштовувати DNS вперед та назад. Це досить часто, особливо для підключень провайдерів, звідки, ймовірно, походила «атака».

Не пов’язаний із повідомленням "МОЖЛИВИЙ ЗАВЕРШУВАННЯ АТЕМПТИ", людина насправді намагається втрутитися у використання загальних імен користувачів та паролів. Не використовуйте прості паролі для SSH; насправді найкраща ідея взагалі вимкнути паролі та використовувати лише SSH-ключі.


1
Якщо він генерується через (дійсне) з'єднання через Інтернет-провайдера, ви можете додати запис у файл / etc / hosts, щоб позбутися цієї помилки зворотного відображення. Очевидно, ви зробили це лише тоді, коли б знали, що помилка є доброякісною і хочете очистити свої журнали.
artfulrobot

32

"Що саме означає" МОЖЛИВА ЗАПАЛЬНІСТЬ ","

Це означає, що власник netblock не оновлював запис PTR для статичного IP в межах їхнього діапазону, і зазначений запис PTR застарів, АБО провайдер не встановлює належні зворотні записи для своїх динамічних клієнтів IP. Це дуже часто, навіть для великих провайдерів.

Ви отримуєте msg у своєму журналі, тому що хтось із IP-адреси з неправильними записами PTR (через одну з причин, наведених вище) намагається використовувати загальні імена користувачів для того, щоб спробувати SSH на вашому сервері (можливо, атака грубої сили чи, можливо, чесна помилка ).

Щоб вимкнути ці сповіщення, у вас є два варіанти:

1) Якщо у вас статичний IP-адрес , додайте зворотне відображення у файл / etc / hosts (докладнішу інформацію див. Тут ):

10.10.10.10 server.remotehost.com

2) Якщо у вас є динамічний IP-адрес і ви дуже хочете, щоб ці сповіщення припинилися, коментуйте "GSSAPIAаутентифікацію так" у вашому / etc / ssh / sshd_config файлі.


2
коментування GSSAPIAuthenticationне допомагає в моєму випадку (
SET

UseDNS noце, мабуть, кращий параметр для позбавлення від нього (і повільних входів, коли у сервера є проблеми з DNS ...)
Герт ван ден Берг

15

Ви можете зробити свої журнали легшими для читання та перевірки, вимкнувши зворотні пошукові вікна в sshd_config (UseDNS немає). Це дозволить запобігти sshd записувати "шумні" рядки, що містять "МОЖЛИВО ВЗАЙМУВАННЯ АТТЕМПТ", а також зосередитись на трохи цікавіших рядках, що містять "Недійсний користувач USER від IPADDRESS".


4
Який мінус у відключенні зворотних пошуків sshd на сервері, підключеному до загальнодоступного Інтернету? Чи взагалі є якась перевага, щоб цю опцію ввімкнено?
Едді

2
@Eddie Я не думаю, що пошук DNS, виконаний sshd, служить корисній меті. Є дві вагомі причини відключити пошук DNS. Шукання DNS може уповільнити вхід у систему, якщо час закінчення пошуку. І повідомлення "МОЖЛИВА НАРУШЕННЯ АТЕМПТ" у журналі не вводять в оману. Це все означає, що клієнт неправильно налаштував DNS.
kasperd

1
Я не погоджуюся @OlafM - "UseDNS ні" повідомляє sshd не проводити перевірку зворотного відображення, і тому він не додаватиме жодних рядків, що містять "МОЖЛИВНІЙ ВРІШЛЕННЯ АТТЕМПТ" до системних журналів. Як побічний ефект він може також пришвидшити спроби з'єднання з хостами, ніж неправильно налаштований зворотний DNS.
TimT

1
Так @OlafM я зробив, близько 4-5 років тому в Linux. Це значно скоротило мої журнали і перестало logcheckклопотати мене з нікчемними повідомленнями електронної пошти.
TimT

1
Основне використання UseDNS- це (погана ідея використання) .rhostsта .shostsавтентифікація ( HostbasedAuthentication). (А Fromваріант матчу в SSHD конфігурації і authorized_keys) (Існує окрема настройка , HostbasedUsesNameFromPacketOnlyхоча , які можуть бути необхідні для перемикання з зворотного пошуку для хостів на основі аутентифікації , а також, що ще гірше , ніж при використанні ідеї Hostsbasedauthentication ...)
Герт ван ден Берг

5

Потрібно не вдалий логін, а те, що в ньому написано "можливий" і "спроба".

Якийсь поганий хлопчик чи сценарій малюк, надсилає вам створений трафік із помилковим IP-кодом.

Ви можете додати обмеження походження IP до своїх ключів SSH та спробувати щось на кшталт fail2ban.


2
Дякую. У мене iptables встановлено, щоб дозволити з'єднання ssh лише з вибраних джерел. У мене також встановлені і запущені fail2ban.
Майк Б
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.