Bu sunucu saldırıya uğramış mı yoksa yalnızca giriş denemeleri mi? Günlüğe bakın

13

Birisi bunun ne anlama geldiğini söyleyebilir mi? lastbSon kullanıcı girişlerini görmek gibi bir komut denedim ve Çin'den bazı garip girişler görüyorum (sunucu AB, AB'deyim). Bunların giriş denemeleri mi yoksa başarılı girişler mi olabileceğini merak ediyordum.

Bunlar çok eski gibi görünüyor ve genellikle 22 numaralı bağlantı noktasını sadece IP'lerime kilitliyorum, sanırım bir süreliğine bağlantı noktasını açık tuttum, son günlük Temmuz ayında.

root     ssh:notty    222.92.89.xx     Sat Jul  9 12:26 - 12:26  (00:00)
root     ssh:notty    222.92.89.xx     Sat Jul  9 12:04 - 12:04  (00:00)
oracle   ssh:notty    222.92.89.xx     Sat Jul  9 11:43 - 11:43  (00:00)
gary     ssh:notty    222.92.89.xx     Sat Jul  9 11:22 - 11:22  (00:00)
root     ssh:notty    222.92.89.xx     Sat Jul  9 11:01 - 11:01  (00:00)
gt05     ssh:notty    222.92.89.xx     Sat Jul  9 10:40 - 10:40  (00:00)
admin    ssh:notty    222.92.89.xx     Sat Jul  9 10:18 - 10:18  (00:00)
ssh  log-files  login  hacking 
adrianTNT
kaynak
1
Bu adları / var / log / auth içindeki IP ile birlikte görüyor musunuz?
ott--

Yanıtlar:

16

lastbyalnızca giriş hatalarını gösterir . lastBaşarılı girişleri görmek için kullanın .

Michael Hampton
kaynak
6

İçerik yüklemeye veya indirmeye çalışan kişilere gösterir. "Notty" kısmı, tty'nin (teletype için tty'nin kısa olduğu) olmadığı anlamına gelir; bu, bu günlerde monitör veya gui olmadığı anlamına gelir ve ssh, birlikte alınan scp veya rsync gibi bir şey anlamına gelen 22 numaralı bağlantı noktasını belirtir.

Bu yüzden hackleme veya giriş denemeleri değil, yanlış veya yanlış yazılmış şifreler. Bazı içerikler google aracılığıyla bulunmuş olabilir, ancak birisinin tahmin etmeye çalıştığı bir şifre gerektiriyor olabilir.

Aslında, yansıma üzerine, yukarı doğru değil. Sorgulayandan şüphelenildiği için ssh aracılığıyla giriş denemelerinde başarısız olabilirler; ve (ilk seferinde kaçırdığım gibi), düzenli bir 21 veya 22 dakikalık aralıklarladırlar, bu da otomasyon derecesini lastbgösterir , ancak tanım gereği hataları gösterir, bu nedenle bu sonuçların lastbaşarılı olup olmadığını görmek için karşılaştırılması gerekir .

ramruma
kaynak
3

Port 22'yi kapatın. Sshd'nizi farklı bir portta dinleyecek şekilde yapılandırın ve denyhosts'ı kurun ve çalıştırın.

tzakuk
kaynak
2

Neden son kullanmıyorsun ?? Lütfen 'son' komutunu kullanın ve Çin'den veya ABD dışından ips arayın.

Ayrıca ... erkek arkadaşın adam lasttb

Lastb, sonuncu ile aynıdır, ancak varsayılan olarak tüm kötü giriş denemelerini içeren / var / log / btmp dosyasının bir günlüğünü gösterir.

3.14
kaynak
1

Evet, aynı IP'nin girişimi denemek için birden fazla kullanıcı adı kullandığı için giriş denemeleri gibi görünüyor. Büyük olasılıkla bir Brute Force saldırısı.

Bu sorunu çözmek için:

Fail2Ban'ı yükleyin ve -1 ile başarısız giriş denemelerini engelleyin, bu da yasaklarını kalıcı hale getirir.

SSH'yi korumak için bir hapishane dosyası ekleyin. Nano düzenleyici veya vi, vim ile yeni bir dosya oluşturun

nano /etc/fail2ban/jail.d/sshd.local

Yukarıdaki dosyaya aşağıdaki kod satırlarını ekleyin.

[Sshd'yi]

etkin = doğru

bağlantı noktası = ssh

"#" eylem = güvenlik duvarı cmd-ipset

logpath =% (sshd_log) s

maxretry = 5

bantime = -1

Greygan
kaynak
0

RE: lastb

"ssh: notty" / var / log / btmp girdileri, "/ etc / ssh / sshd_config" altında atanan SSH bağlantı noktası numarasından başarısız oturum açma girişimlerini gösterir.

Güvenlik nedeniyle, SSH bağlantı noktası genellikle "22" dışında bir sayı olarak değiştirilmiş olacaktır. Yani, bu bağlamda, "ssh" sadece atanmış olan (22 olmayan) SSH port numarası anlamına gelir.

Başarılı bir SSH sertifikası anlaşmasının giriş ekranına ulaşmak için her zaman gerekli olması gerektiğinden, herhangi bir "ssh: notty" günlük girişi kendi başarısız giriş denemenizden kaynaklanır; genellikle yanlış yazılmış bir kullanıcı adından gelir. Günlük girişi ile ilişkili IP adresini not edin ... muhtemelen sizin!

"notty", "tty yok" anlamına gelir.

Bir Linux sunucusu kurmadan ve kullanmadan önce temel güvenliği, nasıl çalıştığını, günlüklerin nerede olduğunu ve bunların nasıl yorumlanacağını ve çeşitli yapılandırma dosyalarının nerede olduğunu ve yönergelerin ne anlama geldiğini ve IPTable'ların nasıl yapılandırılacağını öğrenin. Oturum açma bilgilerini bir "statik IP adresi" ile kısıtlayın ve giriş girişimlerini sınırlayın / kısıtlayın:

Oturum açma işlemlerini kısıtlayan ve yalnızca belirli kullanıcılardan ve IP adreslerinden oturum açmaya izin veren BASIC SSH yapılandırma yönergeleri:

LoginGraceTime 30
MaxStartups 3:50:10
MaxAuthTries 4
PermitRootLogin no
AllowUsers YourUserName@YourIPAddress
PubkeyAuthentication yes
AuthorizedKeysFile   %h/.ssh/authorized_keys
PasswordAuthentication no

Düzenledikten sonra SSH hizmetini "yeniden başlatmayı" unutmayın.

BASIC IPTables yalnızca belirli bir statik IP adresinden SSH bağlantılarına izin veren kurallar:

*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW                                 -j DROP
-A INPUT -m state --state INVALID -j DROP
-A INPUT -f -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN FIN,SYN -j DROP
-A INPUT -p tcp -m tcp --tcp-flags SYN,RST SYN,RST -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,RST FIN,RST -j DROP
-A INPUT -p tcp -m tcp --tcp-flags PSH,ACK PSH -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,ACK FIN -j DROP
-A INPUT -p tcp -m tcp --tcp-flags ACK,URG URG -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,PSH,ACK,URG -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,PSH,URG -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,PSH,URG -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,ACK,URG -j DROP
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp -s YourStaticIPAddress -m multiport --dports SSHPortNumber -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
-A INPUT -j DROP
-A FORWARD -j DROP
COMMIT

Değişikliklerden sonra IP tablolarını "geri yüklemeyi" unutmayın.

LAN'da veya "barındırılan" bir bulut ortamında "özel" tarafı (ağ bağdaştırıcısı) korumayı unutmayın. Düşmanlarınız genellikle ağınıza erişebilir ve arka kapıdan gelir.

RackSpace veya DigitalOcean gibi bir bulut ortamındaysanız ve yapılandırmaları kirletirseniz ve kendinizi kilitlerseniz, her zaman konsoldan girip düzeltebilirsiniz. DAİMA ONARMADAN ÖNCE YAPILANDIRMA DOSYALARI KOPYALARI YAPIN !!!

SandPond
kaynak
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.