"¡POSIBLE INTENTO DE DESPLIEGUE!" En / var / log / secure - ¿qué significa esto?

96

Tengo una caja CentOS 5.x ejecutándose en una plataforma VPS. Mi host VPS malinterpretó una consulta de soporte que tenía sobre conectividad y eliminó efectivamente algunas reglas de iptables. Esto dio como resultado la escucha ssh en el puerto estándar y el reconocimiento de las pruebas de conectividad del puerto. Molesto.

La buena noticia es que necesito claves autorizadas SSH. Por lo que puedo decir, no creo que haya habido una violación exitosa. Sin embargo, todavía estoy muy preocupado por lo que veo en / var / log / secure:


Apr 10 06:39:27 echo sshd[22297]: reverse mapping checking getaddrinfo for 222-237-78-139.tongkni.co.kr failed - POSSIBLE BREAK-IN ATTEMPT!
Apr 10 13:39:27 echo sshd[22298]: Received disconnect from 222.237.78.139: 11: Bye Bye
Apr 10 06:39:31 echo sshd[22324]: Invalid user edu1 from 222.237.78.139
Apr 10 06:39:31 echo sshd[22324]: reverse mapping checking getaddrinfo for 222-237-78-139.tongkni.co.kr failed - POSSIBLE BREAK-IN ATTEMPT!
Apr 10 13:39:31 echo sshd[22330]: input_userauth_request: invalid user edu1
Apr 10 13:39:31 echo sshd[22330]: Received disconnect from 222.237.78.139: 11: Bye Bye
Apr 10 06:39:35 echo sshd[22336]: Invalid user test1 from 222.237.78.139
Apr 10 06:39:35 echo sshd[22336]: reverse mapping checking getaddrinfo for 222-237-78-139.tongkni.co.kr failed - POSSIBLE BREAK-IN ATTEMPT!
Apr 10 13:39:35 echo sshd[22338]: input_userauth_request: invalid user test1
Apr 10 13:39:35 echo sshd[22338]: Received disconnect from 222.237.78.139: 11: Bye Bye
Apr 10 06:39:39 echo sshd[22377]: Invalid user test from 222.237.78.139
Apr 10 06:39:39 echo sshd[22377]: reverse mapping checking getaddrinfo for 222-237-78-139.tongkni.co.kr failed - POSSIBLE BREAK-IN ATTEMPT!
Apr 10 13:39:39 echo sshd[22378]: input_userauth_request: invalid user test
Apr 10 13:39:39 echo sshd[22378]: Received disconnect from 222.237.78.139: 11: Bye Bye

¿Qué significa exactamente "POSIBLE INTENTO DE DESPLIEGUE"? ¿Que tuvo éxito? ¿O que no le gustó la IP de la que provenía la solicitud?

Mike B
fuente

Respuestas:

78

Desafortunadamente, esto es ahora un hecho muy común. Es un ataque automatizado en SSH que utiliza nombres de usuario 'comunes' para intentar entrar en su sistema. El mensaje significa exactamente lo que dice, no significa que haya sido pirateado, solo que alguien lo intentó.

Iain
fuente
Gracias Lain Eso me hace sentir mejor. Estoy realmente contento de requerir claves autorizadas para ssh. =)
Mike B
28
"mapeo inverso que verifica getaddrinfo para" es más acerca de la IP de origen / nombre de host diseñado. El mismo tráfico diseñado está probando nombres de usuario incorrectos, pero los nombres de usuario incorrectos no generan el mensaje "INTENTO POSIBLE DE INICIACIÓN".
poisonbit
11
@MikeyB: es posible que desee considerar agregar fail2ban a su sistema. Esto se puede configurar para bloquear las direcciones IP de estos atacantes automáticamente.
user9517
99
Tenga en cuenta que 'la asignación inversa falló' simplemente puede significar que el ISP del usuario no ha configurado el DNS inverso correctamente, lo cual es bastante común. Ver la respuesta de @Gaia.
Wilfred Hughes
1
Esto es inexacto, solo significa que el DNS inverso no coincide con el nombre de host que el cliente envió para identificarse. Es probable que esté marcado ya que eso podría haber sido un intento de interrupción para las personas que usan .rhostso la .shostsautenticación (nunca he visto eso usado). Los escaneos ocurren, pero de eso no se trata este mensaje (aunque cualquier conexión puede desencadenarlo) (Para escaneos, es mejor buscar los mensajes de usuario fallidos / desconocidos)
Gert van den Berg
52

La parte "INTENTO POSIBLE DE INGRESO" específicamente, está relacionada con la parte "error de verificación de mapeo inverso getaddrinfo". Significa que la persona que se estaba conectando no tenía DNS reenviado e inverso configurado correctamente. Esto es bastante común, especialmente para las conexiones de ISP, que es de donde probablemente provenía el "ataque".

Sin relación con el mensaje "INTENTO POSIBLE DE INGRESO", la persona realmente está tratando de entrar usando nombres de usuario y contraseñas comunes. No use contraseñas simples para SSH; de hecho, la mejor idea es desactivar las contraseñas por completo y usar solo claves SSH.

Chris S
fuente
1
Si es generado por una conexión (válida) a través de un ISP, puede agregar una entrada a su archivo / etc / hosts para deshacerse de este error de mapeo inverso. Obviamente, solo haría esto si supiera que el error es benigno y quiere limpiar sus registros.
artfulrobot
32

"¿Qué significa exactamente" INTENTO POSIBLE DE INGRESO "?"

Esto significa que el propietario de netblock no actualizó el registro PTR para una IP estática dentro de su rango, y dicho registro PTR está desactualizado, O un ISP no configura registros inversos adecuados para sus clientes de IP dinámica. Esto es muy común, incluso para grandes ISP.

Terminas recibiendo el mensaje en tu registro porque alguien que viene de una IP con registros PTR incorrectos (debido a una de las razones anteriores) está tratando de usar nombres de usuario comunes para probar SSH en tu servidor (posiblemente ataque de fuerza bruta, o tal vez un error honesto )

Para deshabilitar estas alertas, tiene dos opciones:

1) Si tiene una IP estática , agregue su asignación inversa a su archivo / etc / hosts (vea más información aquí ):

10.10.10.10 server.remotehost.com

2) Si tiene una IP dinámica y realmente desea que esas alertas desaparezcan, comente la "autenticación de GSSAPIA sí" en su archivo / etc / ssh / sshd_config.

Gaia
fuente
2
comentar GSSAPIAuthenticationno ayuda en mi caso (
SET
UseDNS noes probablemente la mejor configuración para deshacerse de él (y de inicios de sesión lentos cuando el servidor tiene problemas de DNS ...)
Gert van den Berg
15

Puede hacer que sus registros sean más fáciles de leer y verificar desactivando las búsquedas inversas en sshd_config (UseDNS no). Esto evitará que sshd registre las líneas de "ruido" que contienen "POSIBLE INTENTO DE INICIACIÓN", dejándolo concentrado en las líneas un poco más interesantes que contienen "USUARIO de usuario no válido de IPADDRESS".

TimT
fuente
44
¿Cuál es la desventaja de deshabilitar las búsquedas inversas sshd en un servidor conectado a Internet público? ¿Hay alguna ventaja en dejar esta opción habilitada?
Eddie
2
@ Eddie No creo que las búsquedas de DNS realizadas por sshd tengan ningún propósito útil. Hay dos buenas razones para deshabilitar las búsquedas de DNS. Las búsquedas de DNS pueden ralentizar el inicio de sesión si se agota el tiempo de espera de las búsquedas. Y los mensajes de "POSIBLE INTENTO DE INCORPORACIÓN" en el registro son engañosos. Todo lo que ese mensaje realmente significa es que el cliente ha configurado incorrectamente el DNS.
kasperd 01 de
1
No estoy de acuerdo con @OlafM: "UseDNS no" le dice a sshd que no realice la verificación de mapeo inverso y, por lo tanto, no agregará ninguna línea que contenga "POSIBLE INTENTO DE INICIACIÓN" a los registros del sistema. Como efecto secundario, también puede acelerar los intentos de conexión de los hosts que no tienen el DNS inverso configurado correctamente.
TimT
1
Sí @OlafM que hice, hace unos 4-5 años en Linux. Acortó considerablemente mis registros y dejó de logcheckmolestarme con informes de correo electrónico sin valor.
TimT
1
El uso principal de UseDNSes para (mala idea de usar) .rhostsy .shostsautenticación ( HostbasedAuthentication). (Y la Fromopción de coincidencia en la configuración de SSHD y las claves autorizadas) ( HostbasedUsesNameFromPacketOnlyaunque hay una configuración separada que podría ser necesaria para cambiar las búsquedas inversas para la autenticación basada en hosts, peor idea que usar la autenticación de Hostsbase ...)
Gert van den Berg
5

No es necesario un inicio de sesión exitoso, sino lo que dice "posible" e "intento".

Algún chico malo o kiddie de script te envía tráfico diseñado con una IP de origen falso.

Puede agregar limitaciones de IP de origen a sus claves SSH e intentar algo como fail2ban.

veneno
fuente
2
Gracias. Tengo iptables configurado para permitir solo la conectividad ssh de fuentes seleccionadas. También tengo fail2ban instalado y ejecutándose.
Mike B