105 votos

"Posible robo intento!" en/var/log/secure — ¿qué significa esto?

Tengo un CentOS 5.cuadro x se ejecuta en un VPS de la plataforma. Mi VPS host malinterpretado un apoyo a la investigación que tuve acerca de la conectividad y la eficacia vacían algunas reglas iptables. Esto resultó en ssh escuchando en el puerto estándar y el reconocimiento de puerto pruebas de conectividad. Molesto.

La buena noticia es que necesito las claves SSH Autorizadas. Como lo que yo puedo decir, creo que no fue el éxito de cualquier incumplimiento. Todavía estoy muy preocupado por lo que estoy viendo en /var/log/secure:


Apr 10 06:39:27 echo sshd[22297]: reverse mapping checking getaddrinfo for 222-237-78-139.tongkni.co.kr failed - POSSIBLE BREAK-IN ATTEMPT!
Apr 10 13:39:27 echo sshd[22298]: Received disconnect from 222.237.78.139: 11: Bye Bye
Apr 10 06:39:31 echo sshd[22324]: Invalid user edu1 from 222.237.78.139
Apr 10 06:39:31 echo sshd[22324]: reverse mapping checking getaddrinfo for 222-237-78-139.tongkni.co.kr failed - POSSIBLE BREAK-IN ATTEMPT!
Apr 10 13:39:31 echo sshd[22330]: input_userauth_request: invalid user edu1
Apr 10 13:39:31 echo sshd[22330]: Received disconnect from 222.237.78.139: 11: Bye Bye
Apr 10 06:39:35 echo sshd[22336]: Invalid user test1 from 222.237.78.139
Apr 10 06:39:35 echo sshd[22336]: reverse mapping checking getaddrinfo for 222-237-78-139.tongkni.co.kr failed - POSSIBLE BREAK-IN ATTEMPT!
Apr 10 13:39:35 echo sshd[22338]: input_userauth_request: invalid user test1
Apr 10 13:39:35 echo sshd[22338]: Received disconnect from 222.237.78.139: 11: Bye Bye
Apr 10 06:39:39 echo sshd[22377]: Invalid user test from 222.237.78.139
Apr 10 06:39:39 echo sshd[22377]: reverse mapping checking getaddrinfo for 222-237-78-139.tongkni.co.kr failed - POSSIBLE BREAK-IN ATTEMPT!
Apr 10 13:39:39 echo sshd[22378]: input_userauth_request: invalid user test
Apr 10 13:39:39 echo sshd[22378]: Received disconnect from 222.237.78.139: 11: Bye Bye

¿Qué significa exactamente "POSIBLE interrupción EN el INTENTO"? Que fue un éxito? O que no le gusta la IP de la solicitud venía?

86voto

katit Puntos 130

Lamentablemente esto de ahora es una ocurrencia muy común. Es un ataque automatizado en SSH que está utilizando nombres de usuario 'común' para tratar de entrar en tu sistema. El mensaje significa exactamente lo que dice, no significa que han sido hackeado solo que alguien intentó.

54voto

Chris S Puntos 65813

La "POSIBLE RUPTURA-EN un INTENTO de" parte específicamente, está relacionada con la "asignación inversa de cheques getaddrinfo failed" parte. Significa que la persona que estaba conectando no tiene directa e inversa de DNS configurado correctamente. Esto es bastante común, especialmente para las conexiones ISP, que es donde el "ataque" fue probablemente.

Ajenos a los de la "POSIBLE interrupción EN el INTENTO" del mensaje, la persona es en realidad tratando de romper en el uso común de los nombres de usuario y contraseñas. No utilice contraseñas sencillas para SSH; de hecho, la mejor idea para desactivar las contraseñas por completo y el uso de claves SSH sólo.

32voto

Gaia Puntos 534

"¿Qué significa exactamente "POSIBLE interrupción EN el INTENTO"?"

Esto significa que el netblock propietario no actualizar el registro PTR para una IP estática dentro de su gama, y dijo registro PTR es obsoleta, O un ISP no la instalación adecuada de los registros de búsqueda inversa por su dinámica IP a los clientes. Esto es muy común, incluso para grandes ISPs.

Usted termina encima de conseguir el msg en su registro porque alguien que viene de una dirección IP con inadecuado de los registros PTR (debido a que una de las razones más arriba) está tratando de uso común de los nombres de usuario de SSH a tu servidor.

Para deshabilitar estas alertas, usted tiene dos opciones:

1) Si usted tiene una dirección IP estática, agregue su asignación inversa a su archivo /etc/hosts (ver más info aquí):

10.10.10.10 server.remotehost.com

2) Si tienes una IP dinámica y realmente quiere hacer esas alertas vaya, un comentario fuera de la "GSSAPIAuthentication sí" en /etc/ssh/sshd_config.

17voto

Cameron Puntos 32208

Puede facilitar sus registros leer y verificar por apagar inversas lookp-ups en sshd_config (UseDNS no). Esto evitará sshd de registro las líneas de "ruido" que contienen "Posible robo tentativa" dejando a concentrarse en las líneas un poco más interesantes que contienen "Usuario desde la dirección IP de usuario no válido".

5voto

Kevin Puntos 21

No es necesario un exitoso inicio de sesión, pero lo que dice "posible" y "tentativa".

Algún chico malo o infantil script, está enviando que elaborado el tráfico con una dirección IP de origen falsos.

Puede añadir limitaciones de origen IP a tus llaves SSH e intentar algo como fail2ban.

EnMiMaquinaFunciona.com

EnMiMaquinaFunciona es una comunidad de administradores de sistemas en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros sysadmin, hacer tus propias preguntas o resolver las de los demás.

Powered by: