¿Este servidor está pirateado o solo intenta iniciar sesión? Ver registro

13

¿Alguien puede decir qué significa esto? Intenté un comando como lastbver los inicios de sesión de los últimos usuarios y veo algunos inicios de sesión extraños de China (el servidor es UE, estoy en la UE). Me preguntaba si estos podrían ser intentos de inicio de sesión o inicios de sesión exitosos.

Estos parecen ser muy antiguos y usualmente cierro el puerto 22 solo a mis IP, creo que tuve el puerto abierto por un tiempo, el último registro es en julio.

root     ssh:notty    222.92.89.xx     Sat Jul  9 12:26 - 12:26  (00:00)
root     ssh:notty    222.92.89.xx     Sat Jul  9 12:04 - 12:04  (00:00)
oracle   ssh:notty    222.92.89.xx     Sat Jul  9 11:43 - 11:43  (00:00)
gary     ssh:notty    222.92.89.xx     Sat Jul  9 11:22 - 11:22  (00:00)
root     ssh:notty    222.92.89.xx     Sat Jul  9 11:01 - 11:01  (00:00)
gt05     ssh:notty    222.92.89.xx     Sat Jul  9 10:40 - 10:40  (00:00)
admin    ssh:notty    222.92.89.xx     Sat Jul  9 10:18 - 10:18  (00:00)
adrianTNT
fuente
1
¿Ves estos nombres junto con esa IP en / var / log / auth también?
ott--

Respuestas:

16

lastbsolo muestra fallas de inicio de sesión . Use lastpara ver inicios de sesión exitosos.

Michael Hampton
fuente
6

Muestra a las personas que intentan cargar o descargar contenido. La parte "notty" significa que no hay tty (donde tty es la abreviatura de teletipo) que en estos días significa que no hay monitor ni interfaz gráfica de usuario, y el ssh indica el puerto 22, que en conjunto significa algo así como scp o rsync.

Por lo tanto, no hackear o iniciar sesión, sino contraseñas incorrectas o mal escritas. Es posible que algún contenido se haya encontrado a través de Google, pero requiere una contraseña que alguien trató de adivinar.

En realidad, en la reflexión, lo anterior no es correcto. Podrían ser intentos fallidos de inicio de sesión a través de ssh, como sospechaba el interlocutor; y (como perdí la primera vez) están en intervalos regulares de 21 o 22 minutos, lo que sugiere un grado de automatización, pero lastbmuestra fallas por definición, por lo que estos resultados tendrían que compararse lastpara ver si alguno fue exitoso.

ramruma
fuente
3

Cierre el puerto 22. Configure su sshd para escuchar en un puerto diferente e instale y ejecute denyhosts.

tzakuk
fuente
2

¿Por qué no usar el último ? Utilice el comando 'último' y busque ips desde China o fuera de EE. UU.

Además ... hombre es tu amigo hombre lasttb

Lastb es igual que el último, excepto que, de manera predeterminada, muestra un registro del archivo / var / log / btmp, que contiene todos los intentos de inicio de sesión incorrectos.

3.14
fuente
1

Sí, parecen ser intentos de inicio de sesión, ya que la misma IP usó varios nombres de usuario para intentar ingresar. Lo más probable es un ataque de fuerza bruta.

Para resolver esto:

Instale Fail2Ban y bloquee los intentos fallidos de inicio de sesión con un -1, esto hace que su prohibición sea permanente.

Agregue un archivo de cárcel para proteger SSH. Cree un nuevo archivo con el editor Nano o vi, vim

nano /etc/fail2ban/jail.d/sshd.local

Al archivo anterior, agregue las siguientes líneas de código.

[sshd]

habilitado = verdadero

puerto = ssh

"#" action = firewallcmd-ipset

logpath =% (sshd_log) s

maxretry = 5

bantime = -1

Greygan
fuente
0

RE: lastb

Las entradas "ssh: notty" / var / log / btmp indican intentos fallidos de inicio de sesión desde el número de puerto SSH asignado en "/ etc / ssh / sshd_config".

Por razones de seguridad, el puerto SSH generalmente se habrá cambiado a un número que no sea "22". Entonces, "ssh", en este contexto, simplemente significa el número de puerto SSH asignado actualmente (no 22).

Debido a que un apretón de manos de certificado SSH exitoso DEBE siempre ser requerido para llegar a la pantalla de inicio de sesión, cualquier entrada de registro "ssh: notty" probablemente resulte de sus propios intentos fallidos de inicio de sesión; generalmente de un nombre de usuario mal escrito. Tenga en cuenta la dirección IP asociada con la entrada del registro ... ¡probablemente sea la suya!

"notty" significa "no tty".

Aprenda la seguridad básica, cómo funciona, dónde están los registros y cómo interpretarlos, y dónde están los diversos archivos de configuración y qué significan las directivas, y cómo configurar IPTables, antes de configurar y usar un servidor Linux. Restrinja los inicios de sesión a una "dirección IP estática" y limite / vuelva a marcar los intentos de inicio de sesión:

Directivas básicas de configuración SSH que restringen los inicios de sesión y solo permiten inicios de sesión de usuarios particulares y direcciones IP:

LoginGraceTime 30
MaxStartups 3:50:10
MaxAuthTries 4
PermitRootLogin no
AllowUsers YourUserName@YourIPAddress
PubkeyAuthentication yes
AuthorizedKeysFile   %h/.ssh/authorized_keys
PasswordAuthentication no

No olvide "reiniciar" el servicio SSH después de editarlo.

Reglas básicas de IPTables que solo permiten conexiones SSH desde una dirección IP estática particular:

*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW                                 -j DROP
-A INPUT -m state --state INVALID -j DROP
-A INPUT -f -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN FIN,SYN -j DROP
-A INPUT -p tcp -m tcp --tcp-flags SYN,RST SYN,RST -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,RST FIN,RST -j DROP
-A INPUT -p tcp -m tcp --tcp-flags PSH,ACK PSH -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,ACK FIN -j DROP
-A INPUT -p tcp -m tcp --tcp-flags ACK,URG URG -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,PSH,ACK,URG -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,PSH,URG -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,PSH,URG -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,ACK,URG -j DROP
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp -s YourStaticIPAddress -m multiport --dports SSHPortNumber -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
-A INPUT -j DROP
-A FORWARD -j DROP
COMMIT

No olvide "restaurar" las tablas IP después de los cambios.

En una LAN, o en un entorno de nube "alojado", no olvide asegurar el lado "privado" (adaptador de red). Sus enemigos a menudo ya tienen acceso a su red y entran por la puerta de atrás.

Si se encuentra en un entorno de nube como RackSpace o DigitalOcean, y daña las configuraciones y se bloquea, siempre puede ingresar a la consola y solucionarlo. ¡SIEMPRE HAGA COPIAS DE LOS ARCHIVOS DE CONFIGURACIÓN ANTES DE EDITARLOS!

Estanque de arena
fuente