שאלה "אפשרי BREAK-INTEMPT!" ב / var / log / מאובטח - מה זה אומר?


יש לי CentOS 5.x התיבה פועל על פלטפורמת VPS. המארח VPS שלי misinterpreted חקירה תמיכה היה לי על קישוריות ביעילות סומק כמה כללים iptables. זה הביא להקשיב ssh על יציאת סטנדרטי ולהכיר בדיקות קישוריות יציאה. מעצבן.

החדשות הטובות הן שאני דורש מפתחות מאושרים SSH. עד כמה שאני יכול להגיד, אני לא חושב שהיתה איזו הפרה מוצלחת. אני עדיין מודאג מאוד לגבי מה שאני רואה / var / log / מאובטח למרות:


Apr 10 06:39:27 echo sshd[22297]: reverse mapping checking getaddrinfo for 222-237-78-139.tongkni.co.kr failed - POSSIBLE BREAK-IN ATTEMPT!
Apr 10 13:39:27 echo sshd[22298]: Received disconnect from 222.237.78.139: 11: Bye Bye
Apr 10 06:39:31 echo sshd[22324]: Invalid user edu1 from 222.237.78.139
Apr 10 06:39:31 echo sshd[22324]: reverse mapping checking getaddrinfo for 222-237-78-139.tongkni.co.kr failed - POSSIBLE BREAK-IN ATTEMPT!
Apr 10 13:39:31 echo sshd[22330]: input_userauth_request: invalid user edu1
Apr 10 13:39:31 echo sshd[22330]: Received disconnect from 222.237.78.139: 11: Bye Bye
Apr 10 06:39:35 echo sshd[22336]: Invalid user test1 from 222.237.78.139
Apr 10 06:39:35 echo sshd[22336]: reverse mapping checking getaddrinfo for 222-237-78-139.tongkni.co.kr failed - POSSIBLE BREAK-IN ATTEMPT!
Apr 10 13:39:35 echo sshd[22338]: input_userauth_request: invalid user test1
Apr 10 13:39:35 echo sshd[22338]: Received disconnect from 222.237.78.139: 11: Bye Bye
Apr 10 06:39:39 echo sshd[22377]: Invalid user test from 222.237.78.139
Apr 10 06:39:39 echo sshd[22377]: reverse mapping checking getaddrinfo for 222-237-78-139.tongkni.co.kr failed - POSSIBLE BREAK-IN ATTEMPT!
Apr 10 13:39:39 echo sshd[22378]: input_userauth_request: invalid user test
Apr 10 13:39:39 echo sshd[22378]: Received disconnect from 222.237.78.139: 11: Bye Bye

מה בדיוק אומר "אפשרי BREAK- in ATMEMPT" מתכוון? שזה הצליח? או שזה לא אהב את ה- IP שהבקשה הגיעה אליו?


86
2018-04-17 18:17






תשובות:


למרבה הצער זה עכשיו מאוד נפוץ התרחשות. זוהי התקפה אוטומטית על SSH אשר משתמש בשם 'משותף' כדי לנסות לפרוץ את המערכת שלך. המסר אומר בדיוק מה זה אומר, זה לא אומר שאתה כבר פרוצים, רק שמישהו ניסה.


75
2018-04-17 22:06



תודה Lain. זה גורם לי להרגיש טוב יותר. אני באמת שמח שאני צריך מפתחות מורשים עבור ssh. 49 - Mike B
"מיפוי הפוך בדיקה getaddrinfo עבור" הוא יותר על מקור ה- IP / שם המארח בעל מבנה. אותה תנועה מעוצבת מנסה שמות משתמשים רעים, אך שמות משתמשים רעים אינם יוצרים את ההודעה "אפשרות נתקלת ב- INTEMPT". - poisonbit
@MikeyB: ייתכן שתרצה לעיין בהוספה בית Favorite למערכת. זה יכול להיות מוגדר לחסום את כתובות ה- IP של התוקפים האלה באופן אוטומטי. - Iain
@poisonbit: הזכות שלך זה אומר שיש בדיקה לאחור כי אז לא בתורו לפתור לרשומה אבל בסיבוב זה הכל חלק מאותה התקפה אוטומטית. - Iain
שים לב כי 'מיפוי הפוך נכשל' יכול פשוט אומר כי ספק שירותי האינטרנט של המשתמש לא מוגדר DNS הפוך כראוי, וזה די נפוץ. ראה תשובה של גאייה. - Wilfred Hughes


החלק "אפשרי BREAK-in ATEMEMPT" ספציפי, קשורה לחלק "בדיקת מיפוי הפוך getaddrinfo נכשל" חלק. משמעות הדבר היא שהאדם שחיבר לא היה מוגדר כהלכה או הפוך. זה די נפוץ, במיוחד עבור חיבורי ISP, שבו הוא "ההתקפה" היה כנראה מגיע.

לא קשור את ההודעה "אפשרי BREAK-INTEMPT", האדם הוא בעצם מנסה לפרוץ באמצעות שמות משתמשים וסיסמאות נפוצים. אל תשתמש בסיסמאות פשוטות עבור SSH; למעשה את הרעיון הטוב ביותר כדי להשבית סיסמאות לחלוטין ולהשתמש רק מפתחות SSH.


49
2017-10-23 20:16



אם זה נוצר על ידי חיבור (חוקי) באמצעות ספק שירותי אינטרנט, אתה יכול להוסיף ערך לקובץ שלך / etc / hosts כדי להיפטר שגיאה זו מיפוי הפוך. ברור שאתה עושה את זה רק אם אתה יודע את השגיאה היא שפירה רוצה לנקות את יומני. - artfulrobot


"מה בדיוק אומר" אפשרי לשבור- atemempt "מתכוון?"

משמעות הדבר היא כי הבעלים netblock לא לעדכן את הרשומה PTR עבור IP סטטית בטווח שלהם, אמר שיא PTR הוא מיושן, או ספק שירותי אינטרנט אינו מגדיר הרשומות הפוכות המתאימות ללקוחות IP הדינמיים שלו. זה נפוץ מאוד, גם עבור ספקי שירותי אינטרנט גדולים.

בסופו של דבר אתה מקבל את msg ביומן שלך, כי מישהו שמגיע מ- IP עם רשומות PTR לא תקין (בשל אחת הסיבות לעיל) הוא מנסה להשתמש בשמות משתמש נפוצים לנסות SSH לתוך השרת שלך (אולי התקף bruteforce, או אולי טעות כנה ).

כדי להשבית התראות אלו, עומדות לרשותך שתי אפשרויות:

1) אם יש לך כתובת IP סטטית, להוסיף מיפוי הפוך שלך / etc / hosts הקובץ (ראה מידע נוסף כאן)

10.10.10.10 server.remotehost.com

2) אם יש לך כתובת IP דינמית ואת באמת רוצה לעשות התראות אלה ללכת, להעיר את "GSSAPIA Authentication כן" שלך / etc / ssh / sshd_config הקובץ.


30
2018-01-12 10:33



להגיב GSSAPIAuthentication לא עוזר במקרה שלי ( - SET


אתה יכול לעשות את היומנים שלך קל יותר לקרוא ולבדוק על ידי כיבוי לאחור Lookup קופצים in sshd_config (UseDNS no). זה ימנע sshd מ מתחבר "רעש" שורות המכילות "אפשרי BREAK-INTEMPT" עוזב אותך להתרכז בקווים קצת יותר מעניין המכיל "משתמש לא חוקי USER מ IPADDRESS".


13
2018-04-17 18:23



מהו החיסרון להשבית חיפושים sshd לאחור בשרת מחובר לאינטרנט הציבורי? האם יש כל יתרון על מנת להשאיר אפשרות זו מופעלת? - Eddie
@Eddie אני לא חושב שחיפושי ה- DNS המבוצעים על ידי sshd משרתים כל מטרה שימושית. ישנן שתי סיבות טובות להשבית את חיפוש DNS. חיפושים DNS יכול להאט את ההתחברות אם הזמן חיפושי. והודעות "אפשרי BREAK-IN ATEMEMPT" ביומן הן מטעות. כל הודעה זו באמת אומר כי הלקוח יש DNS מוגדר בצורה שגויה. - kasperd
@ kasperd UseDNS יש צורך, אם יש צורך / רוצה להשתמש hostnames ב from= הנחיה ב authorized_keys קבצים. - gf_
אני לא מסכים @OlafM - "UseDNS לא" אומר sshd לא לבצע את הבדיקה מיפוי הפוך ולכן זה לא יוסיף כל השורות המכיל "אפשרי BREAK-INTEMPT" ליומני המערכת. בתור תופעת לוואי זה עשוי גם להאיץ את ניסיונות חיבור מארחים מאשר אין DNS הפוך מוגדר כראוי. - TimT
כן @OlafM עשיתי, בערך 4-5 שנים על לינוקס. זה קיצר במידה ניכרת את בולי העץ שלי ונעצר logcheck bugging לי עם דוחות דוא"ל חסר ערך. - TimT


זה לא הכרחי כניסה מוצלחת, אבל מה זה אומר "posible" ו "ניסיון".

ילד רע או סקריפט ילד, הוא שולח לך תנועה בעל מבנה עם מקור שווא IP.

אתה יכול להוסיף מגבלות IP המקור למפתחות SSH שלך, ולנסות משהו כמו fail2ban.


5



תודה. יש לי iptables מוגדר רק כדי לאפשר קישוריות SSH ממקורות לבחור. יש לי גם fail2ban מותקן ופועל. - Mike B