Tengo una caja CentOS 5.x ejecutándose en una plataforma VPS. Mi host VPS malinterpretó una consulta de soporte que tenía sobre conectividad y eliminó efectivamente algunas reglas de iptables. Esto dio como resultado la escucha ssh en el puerto estándar y el reconocimiento de las pruebas de conectividad del puerto. Molesto.
La buena noticia es que necesito claves autorizadas SSH. Por lo que puedo decir, no creo que haya habido una violación exitosa. Sin embargo, todavía estoy muy preocupado por lo que veo en / var / log / secure:
Apr 10 06:39:27 echo sshd[22297]: reverse mapping checking getaddrinfo for 222-237-78-139.tongkni.co.kr failed - POSSIBLE BREAK-IN ATTEMPT!
Apr 10 13:39:27 echo sshd[22298]: Received disconnect from 222.237.78.139: 11: Bye Bye
Apr 10 06:39:31 echo sshd[22324]: Invalid user edu1 from 222.237.78.139
Apr 10 06:39:31 echo sshd[22324]: reverse mapping checking getaddrinfo for 222-237-78-139.tongkni.co.kr failed - POSSIBLE BREAK-IN ATTEMPT!
Apr 10 13:39:31 echo sshd[22330]: input_userauth_request: invalid user edu1
Apr 10 13:39:31 echo sshd[22330]: Received disconnect from 222.237.78.139: 11: Bye Bye
Apr 10 06:39:35 echo sshd[22336]: Invalid user test1 from 222.237.78.139
Apr 10 06:39:35 echo sshd[22336]: reverse mapping checking getaddrinfo for 222-237-78-139.tongkni.co.kr failed - POSSIBLE BREAK-IN ATTEMPT!
Apr 10 13:39:35 echo sshd[22338]: input_userauth_request: invalid user test1
Apr 10 13:39:35 echo sshd[22338]: Received disconnect from 222.237.78.139: 11: Bye Bye
Apr 10 06:39:39 echo sshd[22377]: Invalid user test from 222.237.78.139
Apr 10 06:39:39 echo sshd[22377]: reverse mapping checking getaddrinfo for 222-237-78-139.tongkni.co.kr failed - POSSIBLE BREAK-IN ATTEMPT!
Apr 10 13:39:39 echo sshd[22378]: input_userauth_request: invalid user test
Apr 10 13:39:39 echo sshd[22378]: Received disconnect from 222.237.78.139: 11: Bye Bye
¿Qué significa exactamente "POSIBLE INTENTO DE DESPLIEGUE"? ¿Que tuvo éxito? ¿O que no le gustó la IP de la que provenía la solicitud?
.rhosts
o la.shosts
autenticación (nunca he visto eso usado). Los escaneos ocurren, pero de eso no se trata este mensaje (aunque cualquier conexión puede desencadenarlo) (Para escaneos, es mejor buscar los mensajes de usuario fallidos / desconocidos)La parte "INTENTO POSIBLE DE INGRESO" específicamente, está relacionada con la parte "error de verificación de mapeo inverso getaddrinfo". Significa que la persona que se estaba conectando no tenía DNS reenviado e inverso configurado correctamente. Esto es bastante común, especialmente para las conexiones de ISP, que es de donde probablemente provenía el "ataque".
Sin relación con el mensaje "INTENTO POSIBLE DE INGRESO", la persona realmente está tratando de entrar usando nombres de usuario y contraseñas comunes. No use contraseñas simples para SSH; de hecho, la mejor idea es desactivar las contraseñas por completo y usar solo claves SSH.
fuente
Esto significa que el propietario de netblock no actualizó el registro PTR para una IP estática dentro de su rango, y dicho registro PTR está desactualizado, O un ISP no configura registros inversos adecuados para sus clientes de IP dinámica. Esto es muy común, incluso para grandes ISP.
Terminas recibiendo el mensaje en tu registro porque alguien que viene de una IP con registros PTR incorrectos (debido a una de las razones anteriores) está tratando de usar nombres de usuario comunes para probar SSH en tu servidor (posiblemente ataque de fuerza bruta, o tal vez un error honesto )
Para deshabilitar estas alertas, tiene dos opciones:
1) Si tiene una IP estática , agregue su asignación inversa a su archivo / etc / hosts (vea más información aquí ):
2) Si tiene una IP dinámica y realmente desea que esas alertas desaparezcan, comente la "autenticación de GSSAPIA sí" en su archivo / etc / ssh / sshd_config.
fuente
GSSAPIAuthentication
no ayuda en mi caso (UseDNS no
es probablemente la mejor configuración para deshacerse de él (y de inicios de sesión lentos cuando el servidor tiene problemas de DNS ...)Puede hacer que sus registros sean más fáciles de leer y verificar desactivando las búsquedas inversas en sshd_config (UseDNS no). Esto evitará que sshd registre las líneas de "ruido" que contienen "POSIBLE INTENTO DE INICIACIÓN", dejándolo concentrado en las líneas un poco más interesantes que contienen "USUARIO de usuario no válido de IPADDRESS".
fuente
logcheck
molestarme con informes de correo electrónico sin valor.UseDNS
es para (mala idea de usar).rhosts
y.shosts
autenticación (HostbasedAuthentication
). (Y laFrom
opción de coincidencia en la configuración de SSHD y las claves autorizadas) (HostbasedUsesNameFromPacketOnly
aunque hay una configuración separada que podría ser necesaria para cambiar las búsquedas inversas para la autenticación basada en hosts, peor idea que usar la autenticación de Hostsbase ...)No es necesario un inicio de sesión exitoso, sino lo que dice "posible" e "intento".
Algún chico malo o kiddie de script te envía tráfico diseñado con una IP de origen falso.
Puede agregar limitaciones de IP de origen a sus claves SSH e intentar algo como fail2ban.
fuente