سؤال "يمكن كسر في المحاولة!" في / فار / سجل / آمن - ماذا يعني هذا؟


لقد حصلت على صندوق CentOS 5.x يعمل على منصة VPS. أخطأ مضيف VPS لدي استفسار الدعم الذي كان لدي حول الاتصال وقم بتنظيف بعض قواعد iptables. أدى ذلك إلى الاستماع ssh على المنفذ القياسي والتعرف على اختبارات اتصال المنفذ. مزعج.

والخبر السار هو أنني أطلب من مفاتيح SSH المعتمدة. بقدر ما أستطيع أن أقول ، لا أعتقد أن هناك أي خرق ناجح. ما زلت قلقًا للغاية بشأن ما أراه في / var / log / secure بالرغم من ذلك:


Apr 10 06:39:27 echo sshd[22297]: reverse mapping checking getaddrinfo for 222-237-78-139.tongkni.co.kr failed - POSSIBLE BREAK-IN ATTEMPT!
Apr 10 13:39:27 echo sshd[22298]: Received disconnect from 222.237.78.139: 11: Bye Bye
Apr 10 06:39:31 echo sshd[22324]: Invalid user edu1 from 222.237.78.139
Apr 10 06:39:31 echo sshd[22324]: reverse mapping checking getaddrinfo for 222-237-78-139.tongkni.co.kr failed - POSSIBLE BREAK-IN ATTEMPT!
Apr 10 13:39:31 echo sshd[22330]: input_userauth_request: invalid user edu1
Apr 10 13:39:31 echo sshd[22330]: Received disconnect from 222.237.78.139: 11: Bye Bye
Apr 10 06:39:35 echo sshd[22336]: Invalid user test1 from 222.237.78.139
Apr 10 06:39:35 echo sshd[22336]: reverse mapping checking getaddrinfo for 222-237-78-139.tongkni.co.kr failed - POSSIBLE BREAK-IN ATTEMPT!
Apr 10 13:39:35 echo sshd[22338]: input_userauth_request: invalid user test1
Apr 10 13:39:35 echo sshd[22338]: Received disconnect from 222.237.78.139: 11: Bye Bye
Apr 10 06:39:39 echo sshd[22377]: Invalid user test from 222.237.78.139
Apr 10 06:39:39 echo sshd[22377]: reverse mapping checking getaddrinfo for 222-237-78-139.tongkni.co.kr failed - POSSIBLE BREAK-IN ATTEMPT!
Apr 10 13:39:39 echo sshd[22378]: input_userauth_request: invalid user test
Apr 10 13:39:39 echo sshd[22378]: Received disconnect from 222.237.78.139: 11: Bye Bye

ما الذي يعنيه بالضبط "ممكن حدوث كسر في"؟ أنه كان ناجحا؟ أو أنه لم يعجبه عنوان IP الذي جاء الطلب منه؟


86
2018-04-17 18:17


الأصل




الأجوبة:


للأسف هذا في الوقت الحالي أمر شائع جدا. إنه هجوم آلي على SSH يستخدم أسماء مستخدمين "مشتركة" لمحاولة اقتحام النظام الخاص بك. الرسالة تعني بالضبط ما تقوله ، لا يعني أنه تم اختراقك ، فقط حاول شخص ما.


75
2018-04-17 22:06



شكرا لين. هذا يجعلني أشعر بشكل أفضل. أنا سعيد حقا أنني بحاجة إلى مفاتيح معتمدة ل ssh. =) - Mike B
"رسم الخرائط العكسي التحقق من getaddrinfo ل" هو أكثر عن مصدر IP / اسم المضيف وضعت. تحاول نفس حركة المرور التي تمت صياغتها أسماء مستخدمين سيئة ، لكن أسماء المستخدمين السيئة لا تنشئ رسالة "POSSIBLE BREAK-IN ATTEMPT". - poisonbit
MikeyB: قد ترغب في النظر في إضافة fail2ban لك النظام. يمكن تكوين هذا لمنع عناوين IP لهؤلاء المهاجمين تلقائياً. - Iain
poisonbit: حقك يعني أن هناك بحثًا عكسيًا لا يحل بدوره إلى سجل A ولكن في الجولة جزء من نفس الهجوم التلقائي. - Iain
لاحظ أن "التعيين العكسي للفشل" يمكن أن يعني ببساطة أن مزود خدمة الإنترنت للمستخدم لم يقم بتكوين DNS العكسي بشكل صحيح ، وهو أمر شائع جدا. انظر ردGaia. - Wilfred Hughes


ويرتبط جزء "POSSIBLE BREAK-IN ATTEMPT" على وجه التحديد بـ "فشل التحقق من التعيين" في جزء "getaddrinfo". هذا يعني أن الشخص الذي كان متصلاً لم يتم إعادة توجيه DNS وعكسه بشكل صحيح. هذا أمر شائع جدًا ، خاصةً بالنسبة لاتصالات ISP ، التي كان مصدر "الهجوم" على الأرجح.

لا علاقة لرسالة "PRESIBLE BREAK-IN ATTEMPT" ، يحاول الشخص فعليًا اختراق أسماء المستخدمين وكلمات المرور الشائعة. لا تستخدم كلمات مرور بسيطة لـ SSH ؛ في الواقع أفضل فكرة لتعطيل كلمات المرور تماما واستخدام مفاتيح SSH فقط.


49
2017-10-23 20:16



إذا تم إنشاؤه بواسطة اتصال (صالح) عبر ISP ، فيمكنك إضافة إدخال إلى ملف / etc / hosts الخاص بك للتخلص من خطأ تعيين العكسي هذا. من الواضح أنك لن تفعل ذلك إلا إذا كنت تعرف أن الخطأ حميدة وتريد تنظيف سجلاتك. - artfulrobot


"ماذا يعني بالضبط" احتمال حدوث كسر في المحاولة "؟"

هذا يعني أن مالك netblock لم يتم تحديث سجل PTR ل IP ثابت داخل نطاقها ، وقال سجل PTR قديمة ، أو لا يقوم مزود خدمة الإنترنت (ISP) بإعداد سجلات عكسية ملائمة لعملاء IP الديناميكيين. هذا أمر شائع جدًا ، حتى بالنسبة لمزودي خدمة الإنترنت الكبار.

ينتهي بك الأمر إلى الحصول على رسالة في السجل الخاص بك لأن شخصًا قادمًا من عنوان IP بسجلات PTR غير ملائمة (بسبب أحد الأسباب المذكورة أعلاه) يحاول استخدام أسماء مستخدمين شائعة لتجريب SSH في خادمك (ربما يكون هجومًا شنيعًا ، أو ربما خطأً نزيهاً ).

لتعطيل هذه التنبيهات ، لديك خياران:

1) إذا كان لديك IP ثابت، أضف التعيين العكسي إلى ملف / etc / hosts (راجع المزيد من المعلومات هنا):

10.10.10.10 server.remotehost.com

2) إذا كان لديك IP ديناميكي وأريد فعلًا إنهاء هذه التنبيهات ، وعلق "نعم GSSAPIAuthentication" في ملف / etc / ssh / sshd_config.


30
2018-01-12 10:33



التعليق GSSAPIAuthentication لا يساعد في حالتي ( - SET


يمكنك جعل سجلاتك أسهل في القراءة والتحقق منها إيقاف تشغيل عمليات البحث العكسية في sshd_config (UseDNS no). سيمنع هذا sshd من تسجيل خطوط "الضوضاء" التي تحتوي على "POSSIBLE BREAK-IN ATTEMPT" مما يتركك للتركيز على الخطوط الأكثر إثارة للاهتمام التي تحتوي على "مستخدم غير صالح من IPADDRESS".


13
2018-04-17 18:23



ما هو الجانب السلبي لتعطيل عمليات البحث العكسية sshd على خادم متصل بالإنترنت العام؟ هل هناك أي جانب على الاطلاق لترك هذا الخيار ممكنا؟ - Eddie
Eddie لا أعتقد أن عمليات بحث DNS التي يقوم بها sshd تخدم أي غرض مفيد. هناك سببان جيدان لتعطيل عمليات البحث عن DNS. يمكن أن يبطئ البحث في نظام أسماء النطاقات تسجيل الدخول إذا انتهت مهلة عمليات البحث. وتكون رسائل "BRESIBLE BREAK-IN ATTEMPT" في السجل مضللة. كل تلك الرسالة تعني حقاً أن العميل قد قام بتكوين DNS بشكل خاطئ. - kasperd
kasperd UseDNS هناك حاجة ، إذا كان أحد يحتاج / يريد استخدام أسماء المضيفين في from= التوجيه في authorized_keys الملفات. - gf_
أنا لا أتفق معOlafM - "UseDNS no" لإخبار sshd بعدم إجراء فحص التعيين العكسي ، وبالتالي لن يقوم بإضافة أي خطوط تحتوي على "POSSIBLE BREAK-IN ATTEMPT" إلى سجلات النظام. كأحد الآثار الجانبية ، قد يؤدي ذلك أيضًا إلى تسريع محاولات الاتصال من المضيفين بدلاً من عدم تكوين DNS العكسي بشكل صحيح. - TimT
نعمOlafM فعلت ، منذ حوالي 4-5 سنوات على لينكس. انها اختصار كبير سجلات بلدي وتوقفت logcheck التنصت لي مع تقارير البريد الإلكتروني عديمة القيمة. - TimT


ليس من الضروري تسجيل الدخول بنجاح ، ولكن ما يقوله "ممكن" و "المحاولة".

يرسل لك بعض الولد الشرير أو كيدي البرامج النصية حركة مرور تم إنشاؤها باستخدام عنوان IP خاطئ.

يمكنك إضافة قيود IP للمفاتيح إلى مفاتيح SSH الخاصة بك ، وتجربة شيء مثل fail2ban.


5



شكر. لدي iptables لتسمح فقط اتصال ssh من مصادر مختارة. لدي أيضا fail2ban المثبتة والجري. - Mike B