Pertanyaan "MUNGKIN PERCOBAAN BREAK-IN!" Di / var / log / secure - apa artinya ini?


Saya punya kotak CentOS 5.x yang berjalan pada platform VPS. Host VPS saya salah menafsirkan permintaan dukungan yang saya miliki tentang konektivitas dan secara efektif memerah beberapa aturan iptables. Hal ini mengakibatkan ssh mendengarkan pada port standar dan mengakui tes konektivitas port. Mengganggu.

Kabar baiknya adalah bahwa saya memerlukan kunci Resmi SSH. Sejauh yang saya tahu, saya tidak berpikir ada pelanggaran yang berhasil. Saya masih sangat prihatin dengan apa yang saya lihat di / var / log / aman:


Apr 10 06:39:27 echo sshd[22297]: reverse mapping checking getaddrinfo for 222-237-78-139.tongkni.co.kr failed - POSSIBLE BREAK-IN ATTEMPT!
Apr 10 13:39:27 echo sshd[22298]: Received disconnect from 222.237.78.139: 11: Bye Bye
Apr 10 06:39:31 echo sshd[22324]: Invalid user edu1 from 222.237.78.139
Apr 10 06:39:31 echo sshd[22324]: reverse mapping checking getaddrinfo for 222-237-78-139.tongkni.co.kr failed - POSSIBLE BREAK-IN ATTEMPT!
Apr 10 13:39:31 echo sshd[22330]: input_userauth_request: invalid user edu1
Apr 10 13:39:31 echo sshd[22330]: Received disconnect from 222.237.78.139: 11: Bye Bye
Apr 10 06:39:35 echo sshd[22336]: Invalid user test1 from 222.237.78.139
Apr 10 06:39:35 echo sshd[22336]: reverse mapping checking getaddrinfo for 222-237-78-139.tongkni.co.kr failed - POSSIBLE BREAK-IN ATTEMPT!
Apr 10 13:39:35 echo sshd[22338]: input_userauth_request: invalid user test1
Apr 10 13:39:35 echo sshd[22338]: Received disconnect from 222.237.78.139: 11: Bye Bye
Apr 10 06:39:39 echo sshd[22377]: Invalid user test from 222.237.78.139
Apr 10 06:39:39 echo sshd[22377]: reverse mapping checking getaddrinfo for 222-237-78-139.tongkni.co.kr failed - POSSIBLE BREAK-IN ATTEMPT!
Apr 10 13:39:39 echo sshd[22378]: input_userauth_request: invalid user test
Apr 10 13:39:39 echo sshd[22378]: Received disconnect from 222.237.78.139: 11: Bye Bye

Apa sebenarnya arti "MUNGKIN BREAK-IN ATTEMPT"? Bahwa itu berhasil? Atau itu tidak seperti IP, permintaan itu berasal?


86
2018-04-17 18:17






Jawaban:


Sayangnya ini sekarang sangat umum terjadi. Ini adalah serangan otomatis pada SSH yang menggunakan nama pengguna 'umum' untuk mencoba dan masuk ke sistem Anda. Pesan itu berarti persis apa yang dikatakannya, itu tidak berarti bahwa Anda telah diretas, hanya seseorang yang mencoba.


75
2018-04-17 22:06



Terima kasih Lain. Itu membuatku merasa lebih baik. Saya sangat senang saya membutuhkan kunci resmi untuk ssh. =) - Mike B
"pemetaan balik memeriksa getaddrinfo untuk" lebih lanjut tentang sumber IP / hostname yang dibuat. Lalu lintas buatan yang sama mencoba nama pengguna yang buruk, tetapi nama pengguna yang buruk tidak menghasilkan pesan "MUNGKIN BREAK-IN PERKEMBANGAN". - poisonbit
@MikeyB: Anda mungkin ingin melihat penambahan fail2ban untuk sistem Anda. Ini dapat dikonfigurasi untuk memblokir alamat IP dari penyerang ini secara otomatis. - Iain
@poisonbit: Hak Anda itu berarti bahwa ada reverse lookup yang kemudian tidak pada gilirannya menyelesaikan ke A record tetapi dalam putaran itu semua adalah bagian dari serangan otomatis yang sama. - Iain
Perhatikan bahwa 'pemetaan terbalik gagal' dapat berarti bahwa ISP pengguna belum mengkonfigurasi reverse DNS dengan benar, yang cukup umum. Lihat jawaban @Gaia. - Wilfred Hughes


Bagian "POSSIBLE BREAK-IN ATTEMPT" khusus, terkait dengan bagian "pemetaan balik memeriksa getaddrinfo gagal". Itu berarti orang yang terhubung tidak memiliki DNS maju dan mundur dikonfigurasi dengan benar. Ini cukup umum, terutama untuk koneksi ISP, yang merupakan tempat "serangan" mungkin berasal.

Tidak terkait dengan pesan "POSSIBLE BREAK-IN ATTEMPT", orang tersebut benar-benar mencoba masuk menggunakan nama pengguna dan kata sandi umum. Jangan gunakan kata sandi sederhana untuk SSH; sebenarnya ide terbaik untuk menonaktifkan kata sandi sekaligus dan menggunakan kunci SSH saja.


49
2017-10-23 20:16



Jika itu dihasilkan oleh koneksi (sah) melalui ISP, Anda dapat menambahkan entri ke file / etc / hosts Anda untuk menyingkirkan kesalahan pemetaan terbalik ini. Tentunya Anda hanya melakukan ini jika Anda tahu bahwa kesalahan itu jinak dan ingin membersihkan log Anda. - artfulrobot


"Apa sebenarnya arti" MUNGKIN BREAK-IN ATTEMPT "?"

Ini berarti pemilik netblock tidak memperbarui catatan PTR untuk IP statis dalam jangkauan mereka, dan mengatakan bahwa catatan PTR sudah usang, ATAU ISP tidak menyiapkan catatan reverse yang tepat untuk pelanggan IP dinamisnya. Ini sangat umum, bahkan untuk ISP besar.

Anda akhirnya mendapatkan pesan di log Anda karena seseorang yang berasal dari IP dengan catatan PTR yang tidak benar (karena salah satu alasan di atas) sedang mencoba menggunakan nama pengguna umum untuk mencoba SSH ke server Anda (mungkin serangan bruteforce, atau mungkin kesalahan yang jujur ).

Untuk menonaktifkan peringatan ini, Anda memiliki dua pilihan:

1) Jika Anda memiliki IP statis, tambahkan pemetaan balik Anda ke file / etc / hosts (lihat info lebih lanjut sini):

10.10.10.10 server.remotehost.com

2) Jika Anda memiliki IP dinamis dan benar-benar ingin membuat peringatan itu hilang, beri komentar "GSSAPIAuthentication yes" di file / etc / ssh / sshd_config Anda.


30
2018-01-12 10:33



berkomentar GSSAPIAuthentication tidak membantu dalam kasus saya ( - SET


Anda dapat membuat log lebih mudah dibaca dan diperiksa mematikan reverse lookp-up di sshd_config (UseDNS no). Ini akan mencegah sshd menebang baris "noise" yang berisi "POSSIBLE BREAK-IN ATTEMPT" yang membuat Anda berkonsentrasi pada baris yang sedikit lebih menarik yang berisi "PENGGUNA pengguna yang tidak valid dari IPADDRESS".


13
2018-04-17 18:23



Apa sisi buruknya untuk menonaktifkan sshd reverse lookup pada server yang terhubung ke Internet publik? Apakah ada kelebihan untuk membiarkan opsi ini diaktifkan? - Eddie
@ Eddie Saya tidak berpikir pencarian DNS dilakukan oleh sshd melayani setiap tujuan yang berguna. Ada dua alasan bagus untuk menonaktifkan pencarian DNS. Pencarian DNS dapat memperlambat proses masuk jika waktu pencarian habis. Dan pesan "POSSIBLE BREAK-IN ATTEMPT" di log menyesatkan. Semua pesan itu benar-benar berarti bahwa klien memiliki DNS yang salah dikonfigurasi. - kasperd
@kasperd UseDNS diperlukan, jika seseorang perlu / ingin menggunakan hostname di from= direktif dalam authorized_keys file. - gf_
Saya tidak setuju @OlafM - "UseDNS no" memberitahu sshd untuk tidak melakukan pemeriksaan pemetaan balik dan oleh karena itu tidak akan menambahkan baris yang berisi "POSSIBLE BREAK-IN ATTEMPT" ke log sistem. Sebagai efek samping, ini juga dapat mempercepat upaya koneksi dari host daripada tidak memiliki konfigurasi DNS terbalik dengan benar. - TimT
Ya @OlafM Saya melakukannya, sekitar 4-5 tahun yang lalu di Linux. Ini sangat mempersingkat log saya dan berhenti logcheck mengganggu saya dengan laporan email yang tidak berguna. - TimT


Ini tidak perlu berhasil masuk, tetapi apa yang dikatakan "mungkin" dan "coba".

Beberapa kiddie anak nakal atau skrip, mengirimi Anda lalu lintas buatan dengan IP asal palsu.

Anda dapat menambahkan pembatasan IP asal ke kunci SSH Anda, dan mencoba sesuatu seperti fail2ban.


5



Terima kasih. Saya memiliki iptables yang diatur untuk hanya memungkinkan konektivitas ssh dari sumber pilih. Saya juga telah menginstal dan menjalankan fail2ban. - Mike B