/ Var / log / secure içinde “OLASI KIRILMA TAVSİYE!” - bu ne anlama geliyor?

96

VPS platformunda çalışan bir CentOS 5.x kutum var. VPS sunucum, bağlantı hakkında sahip olduğum bir destek sorusunu yanlış yorumladı ve bazı iptables kurallarını etkili bir şekilde siler. Bu, standart portta ssh dinlemesi ve port bağlantı testlerinin onaylanmasıyla sonuçlandı. Can sıkıcı.

İyi haber şu ki, SSH Yetkili Anahtarlarına ihtiyacım var. Söyleyebileceğim kadarıyla, başarılı bir ihlal olduğunu sanmıyorum. Yine de / var / log / secure'de gördüğüm şeyler konusunda hala endişeliyim:

Apr 10 06:39:27 echo sshd[22297]: reverse mapping checking getaddrinfo for 222-237-78-139.tongkni.co.kr failed - POSSIBLE BREAK-IN ATTEMPT!
Apr 10 13:39:27 echo sshd[22298]: Received disconnect from 222.237.78.139: 11: Bye Bye
Apr 10 06:39:31 echo sshd[22324]: Invalid user edu1 from 222.237.78.139
Apr 10 06:39:31 echo sshd[22324]: reverse mapping checking getaddrinfo for 222-237-78-139.tongkni.co.kr failed - POSSIBLE BREAK-IN ATTEMPT!
Apr 10 13:39:31 echo sshd[22330]: input_userauth_request: invalid user edu1
Apr 10 13:39:31 echo sshd[22330]: Received disconnect from 222.237.78.139: 11: Bye Bye
Apr 10 06:39:35 echo sshd[22336]: Invalid user test1 from 222.237.78.139
Apr 10 06:39:35 echo sshd[22336]: reverse mapping checking getaddrinfo for 222-237-78-139.tongkni.co.kr failed - POSSIBLE BREAK-IN ATTEMPT!
Apr 10 13:39:35 echo sshd[22338]: input_userauth_request: invalid user test1
Apr 10 13:39:35 echo sshd[22338]: Received disconnect from 222.237.78.139: 11: Bye Bye
Apr 10 06:39:39 echo sshd[22377]: Invalid user test from 222.237.78.139
Apr 10 06:39:39 echo sshd[22377]: reverse mapping checking getaddrinfo for 222-237-78-139.tongkni.co.kr failed - POSSIBLE BREAK-IN ATTEMPT!
Apr 10 13:39:39 echo sshd[22378]: input_userauth_request: invalid user test
Apr 10 13:39:39 echo sshd[22378]: Received disconnect from 222.237.78.139: 11: Bye Bye

"Olası KIRILMA TAVSİYESİ" ne anlama geliyor? Başarılı oldu mu? Ya da isteğin geldiği IP’yi beğenmedi mi?

linux  security  ssh  centos 
Mike B
kaynak

Yanıtlar:

78

Ne yazık ki bu şimdi çok yaygın bir olay. Sisteminize girmeyi denemek ve 'ortak' kullanıcı adlarını kullanan SSH'ye otomatik bir saldırıdır. Mesaj tam olarak ne yazdığı anlamına gelir, bu sizin saldırıya uğradığınız anlamına gelmez, sadece birileri denemiştir.

Iain
kaynak
Sağol Lain. Bu beni daha iyi hissettiriyor. Gerçekten, ssh için yetkilendirilmiş anahtarlar istediğim için memnunum. =)
Mike B
28
"getaddrinfo için ters eşleme denetimi", kaynak IP / ana bilgisayar adı hazırlanmış. Aynı hazırlanmış trafik kötü kullanıcı adlarını deniyor, ancak hatalı kullanıcı adları "OLUŞTURMUŞ KÖTÜ İÇERİSİNİZ" mesajı vermiyor.
Poisonbit
11
@MikeyB: ekleyerek bakmak isteyebilirsiniz fail2ban size sisteme. Bu, bu saldırganların IP adreslerini otomatik olarak engelleyecek şekilde yapılandırılabilir.
user9517
9
'Ters eşleme başarısız' seçeneğinin, kullanıcının ISS'sinin ters DNS'yi doğru bir şekilde yapılandırmamış olduğu anlamına gelebileceğini unutmayın. @Gaia'nın cevabına bakınız.
Wilfred Hughes
1
Bu yanlış, sadece ters DNS, istemcinin kendilerini tanımlamak için gönderdiği ana bilgisayar adıyla eşleşmiyor demektir. Muhtemelen işaretlendi, çünkü bu kişiler kullanan .rhostsveya .shostskimlik doğrulama girişiminde bir mola verilmiş olabilir (hiç kullanıldığını görmedim). Taramalar olur, ancak bu mesajın ne olduğu değildir (herhangi bir bağlantı tetikleyebilse de) (Taramalar için, başarısız kimlik doğrulama / bilinmeyen kullanıcı mesajlarının aranması daha iyidir)
Gert van den Berg
52

"Olası BREAK-IN ATTEMPT" kısmı özellikle "ters haritalama kontrolü getaddrinfo başarısız oldu" bölümü ile ilgilidir. Bağlanan kişinin doğru bir şekilde yapılandırılmış DNS ileri ve geri almadığı anlamına gelir. Bu, özellikle "saldırının" nereden geldiği ISS bağlantıları için oldukça yaygındır.

"OLASI KIRILMA TAVSİYESİ" mesajı ile ilgisiz, kişi aslında ortak kullanıcı adlarını ve şifrelerini kullanarak girmeye çalışıyor. SSH için basit şifreler kullanmayın; Aslında şifreleri tamamen devre dışı bırakmak ve sadece SSH anahtarlarını kullanmak için en iyi fikir.

Chris S
kaynak
1
Bir ISS üzerinden (geçerli) bir bağlantı tarafından oluşturulmuşsa, bu ters eşleme hatasından kurtulmak için / etc / hosts dosyasına bir giriş ekleyebilirsiniz. Açıkçası, bunu yalnızca hatanın iyi niyetli olduğunu ve günlüklerinizi temizlemek istediğinizi bildiğiniz takdirde yaparsınız.
artfulrobot 10:12
32

"Tam olarak" OLASI KIRILMA TUTMASI "ne demek?

Bu, netblock sahibinin PTR kaydını kendi aralığı içinde statik bir IP için güncellemediği ve söz konusu PTR kaydının eski olduğu veya bir ISP'nin dinamik IP müşterileri için uygun ters kayıtlar oluşturmadığı anlamına gelir. Bu, büyük ISS'ler için bile çok yaygındır.

Uygunsuz PTR kayıtlarına sahip bir IP’den (yukarıdaki nedenlerden biri nedeniyle) gelen bir IP’yi sunucunuza SSH’yi denemek için ortak kullanıcı adlarını kullanmaya çalıştığı için (muhtemelen kaba saldırı veya belki de dürüst bir hata) ).

Bu uyarıları devre dışı bırakmak için iki seçeneğiniz vardır:

1) Statik IP'niz varsa , ters eşlemenizi / etc / hosts dosyasına ekleyin (daha fazla bilgiye buradan bakın ):

10.10.10.10 server.remotehost.com

2) Dinamik bir IP'niz varsa ve bu uyarıları gerçekten ortadan kaldırmak istiyorsanız, / etc / ssh / sshd_config dosyanızdaki "GSSAPIAuthentication yes" yazısını yorumlayın.

Gaia
kaynak
2
yorum GSSAPIAuthenticationyapmak benim durumumda işe yaramaz (
SET
UseDNS noMuhtemelen ondan kurtulmak için daha iyi bir ayardır (ve sunucuda DNS sorunu olduğunda yavaş oturum açma ...)
Gert van den Berg
15

Sshd_config (UseDNS no) içindeki geriye doğru aramaları kapatarak kayıtlarınızın okunmasını ve kontrol edilmesini kolaylaştırabilirsiniz . Bu, sshd'nin "Olası KIRILMA TARAFI ATTEMPT" içeren "gürültü" satırlarını kaydetmesini önleyecektir, "IPADDRESS'ten geçersiz kullanıcı kullanıcısı" içeren biraz daha ilginç satırlara konsantre olmanızı sağlar.

TimT
kaynak
4
Genel İnternet'e bağlı bir sunucuda sshd geriye doğru aramaları devre dışı bırakmanın olumsuz tarafı nedir? Bu seçeneği etkin bırakmak için hiçbir terslik var mı?
Eddie
2
@Eddie sshd tarafından gerçekleştirilen DNS aramalarının herhangi bir faydalı amaca hizmet ettiğini sanmıyorum. DNS aramalarını devre dışı bırakmak için iki iyi neden var. DNS aramaları, zaman aşımına uğrarsa girişleri yavaşlatabilir. Ve günlükteki "Olası KIRILMA TAVSİYESİ" mesajları yanıltıcıdır. Bu mesajın gerçekten anlamı, istemcinin DNS'yi yanlış yapılandırmış olmasıdır.
kasperd
1
@OlafM'a katılmıyorum - "UseDNS no", sshd'ye ters eşleme kontrolünü gerçekleştirmemesini söyler ve bu nedenle sistem günlüklerine "POSSIBLE BREAK-IN ATTEMPT" içeren hiçbir satır eklemez. Yan etkisi olarak, ana bilgisayarlardan yapılan bağlantı girişimlerini, ters DNS yapılandırılmış olarak değil, hızlandırabilir.
TimT
1
Evet @OlafM, yaklaşık 4-5 yıl önce Linux'ta yaptım. Kayıtlarımı önemli ölçüde kısalttı ve logcheckbeni değersiz e-posta raporlarıyla rahatsız etmeyi bıraktı .
TimT
1
Başlıca kullanımı (kullanımı UseDNSkötü fikir) .rhostsve .shostskimlik doğrulamasıdır ( HostbasedAuthentication). ( FromSSHD yapılandırma ve HostbasedUsesNameFromPacketOnlyyetkili_ anahtarlarındaki eşleşme seçeneği) ( Hostsbasedauthentication'ı kullanmaktan daha kötü bir fikir olsa da, Hostsbasedauthentication'ı kullanmaktan daha kötü bir fikir de olsa, Ana Bilgisayarlar için geriye doğru aramaları değiştirmek için gerekli olabilecek ayrı bir ayar var ...)
Gert van den Berg
5

Başarılı bir giriş yapmanıza gerek yok, ancak "gönderilebilir" ve "girişimi" dediği şey.

Bazı kötü çocuk veya senaryo kiddie, sahte kökenli IP ile hazırlanmış trafik gönderiyor.

SSH anahtarlarınıza kaynak IP sınırlamaları ekleyebilir ve fail2ban gibi bir şey deneyebilirsiniz.

poisonbit
kaynak
2
Teşekkürler. Yalnızca seçili kaynaklardan ssh bağlantısına izin verecek şekilde ayarlanmış iptables'ım var. Ayrıca fail2ban yüklü ve çalışıyor.
Mike B
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.