/ var / log / secure中的“可能的闯入尝试!”-这是什么意思?

96

我有一个在VPS平台上运行的CentOS 5.x盒子。我的VPS主机误解了我对连接的支持查询,并有效地刷新了一些iptables规则。这导致ssh在标准端口上侦听并确认端口连接测试。烦死了

好消息是我需要SSH授权密钥。据我所知,我认为没有成功的突破。我仍然非常担心在/ var / log / secure中看到的内容:

Apr 10 06:39:27 echo sshd[22297]: reverse mapping checking getaddrinfo for 222-237-78-139.tongkni.co.kr failed - POSSIBLE BREAK-IN ATTEMPT!
Apr 10 13:39:27 echo sshd[22298]: Received disconnect from 222.237.78.139: 11: Bye Bye
Apr 10 06:39:31 echo sshd[22324]: Invalid user edu1 from 222.237.78.139
Apr 10 06:39:31 echo sshd[22324]: reverse mapping checking getaddrinfo for 222-237-78-139.tongkni.co.kr failed - POSSIBLE BREAK-IN ATTEMPT!
Apr 10 13:39:31 echo sshd[22330]: input_userauth_request: invalid user edu1
Apr 10 13:39:31 echo sshd[22330]: Received disconnect from 222.237.78.139: 11: Bye Bye
Apr 10 06:39:35 echo sshd[22336]: Invalid user test1 from 222.237.78.139
Apr 10 06:39:35 echo sshd[22336]: reverse mapping checking getaddrinfo for 222-237-78-139.tongkni.co.kr failed - POSSIBLE BREAK-IN ATTEMPT!
Apr 10 13:39:35 echo sshd[22338]: input_userauth_request: invalid user test1
Apr 10 13:39:35 echo sshd[22338]: Received disconnect from 222.237.78.139: 11: Bye Bye
Apr 10 06:39:39 echo sshd[22377]: Invalid user test from 222.237.78.139
Apr 10 06:39:39 echo sshd[22377]: reverse mapping checking getaddrinfo for 222-237-78-139.tongkni.co.kr failed - POSSIBLE BREAK-IN ATTEMPT!
Apr 10 13:39:39 echo sshd[22378]: input_userauth_request: invalid user test
Apr 10 13:39:39 echo sshd[22378]: Received disconnect from 222.237.78.139: 11: Bye Bye

“可能的闯入尝试”到底是什么意思?那成功了吗?还是它不喜欢请求来自的IP?

linux  security  ssh  centos 
迈克·B
source

Answers:

78

不幸的是,这在现在非常普遍。这是对SSH的自动攻击,它使用“通用”用户名尝试侵入您的系统。该消息的含义与所讲的完全相同,并不意味着您已被黑客入侵,只是有人尝试过。

Iain
source
谢谢莱恩。那让我感觉好些。我真的很高兴我需要ssh的授权密钥。=)
Mike B
28
“反向映射检查getaddrinfo”是关于源IP /主机名的更多信息。相同的流量尝试使用错误的用户名,但是错误的用户名不会生成“可能的侵入尝试”消息。
poisonbit
11
@MikeyB:您可能希望查看将fail2ban添加到您的系统。可以将其配置为自动阻止这些攻击者的IP地址。
2011年
9
请注意,“反向映射失败”可能仅表示用户的ISP未正确配置反向DNS,这很常见。参见@Gaia的答案。
维尔弗雷德·休斯
1
这是不准确的,仅表示反向DNS与客户端发送以标识自己的主机名不匹配。它可能已被标记,因为这对于尝试使用.rhosts或进行.shosts身份验证的人来说可能是一个尝试中断(我从未见过使用过)。发生扫描,但这不是此消息的含义(尽管任何连接都可以触发它)(对于扫描,失败的身份验证/未知用户消息更适合查找)
Gert van den Berg,
52

“可能的闯入尝试”部分特别与“反向映射检查getaddrinfo失败”部分有关。这意味着连接的人没有正确配置正向和反向DNS。这是很常见的,尤其是对于ISP连接而言,这正是“攻击”的来源。

该人与“可能的闯入尝试”消息无关,实际上是在尝试使用常用的用户名和密码来闯入。请勿对SSH使用简单密码;实际上,最好是完全禁用密码并仅使用SSH密钥。

克里斯·S
source
1
如果它是通过ISP的(有效)连接生成的,则可以将条目添加到/ etc / hosts文件中,以消除此反向映射错误。显然,只有在知道错误是良性的并且想要清除日志的情况下,才执行此操作。
artfulrobot 2012年
32

““可能的闯入尝试”到底是什么意思?”

这意味着netblock所有者未更新其范围内的静态IP的PTR记录,并且该PTR记录已过时,或者 ISP未为其动态IP客户设置适当的反向记录。即使对于大型ISP,这也很常见。

您最终会在日志中收到味精,因为某人来自具有错误PTR记录的IP(由于上述原因之一)试图使用通用用户名将SSH尝试进入您的服务器(可能是蛮力攻击,或者是一个诚实的错误) )。

要禁用这些警报,您有两种选择:

1)如果您具有静态IP,则将反向映射添加到/ etc / hosts文件中(在此处查看更多信息):

10.10.10.10 server.remotehost.com

2)如果您具有动态IP,并且真的想使那些警报消失,请在/ etc / ssh / sshd_config文件中将“ GSSAPIAuthentication yes”注释掉。

盖亚
source
2
评论GSSAPIAuthentication在我的情况没有帮助(
SET
UseDNS no可能是摆脱它的更好的设置(以及服务器出现DNS问题时的缓慢登录...)
Gert van den Berg,
15

通过关闭 sshd_config中的反向查询(UseDNS no),可以使日志更易于阅读和检查。这将防止sshd记录包含“可能的闯入尝试”的“噪声”行,而使您专注于包含“来自IPADDRESS的无效用户USER”的稍微有趣的行。

蒂姆
source
4
在连接到公共Internet的服务器上禁用sshd反向查询的不利之处是什么?启用此选项是否有任何好处?
艾迪(Eddie)
2
@Eddie我认为sshd执行的DNS查找没有任何有用的用途。有两个很好的理由来禁用DNS查找。如果查询超时,DNS查询会减慢登录速度。并且日志中的“可能的闯入尝试”消息具有误导性。该消息真正的意思是客户端配置了错误的DNS。
kasperd
1
我不同意@OlafM-“ UseDNS no”告诉sshd不要执行反向映射检查,因此它将不会在系统日志中添加任何包含“可能的闯入尝试”的行。副作用是,与未正确配置反向DNS相比,它还可能加速来自主机的连接尝试。
TimT '17年
1
是的,@ OlafM我大约在4-5年前在Linux上做过。它大大缩短了我的日志,并且不再为logcheck我提供毫无价值的电子邮件报告。
TimT '17
1
的主要用途UseDNS是用于(不好的主意).rhosts.shosts认证(HostbasedAuthentication)。(以及FromSSHD config和authorized_keys中的match选项)(HostbasedUsesNameFromPacketOnly尽管可能需要一个单独的设置来切换基于主机的身份验证的反向查找,比使用基于主机的身份验证更糟糕的主意...)
Gert van den Berg
5

成功登录并不一定要成功,但是它说的是“可能的”和“尝试的”。

一些坏男孩或脚本小子正在向您发送带有错误来源IP的精心制作的流量。

您可以将原始IP限制添加到SSH密钥,然后尝试使用fail2ban之类的方法。

毒位
source
2
谢谢。我已将iptables设置为仅允许来自选定来源的ssh连接。我还安装并运行了fail2ban。
Mike B
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.