"POSSIBLE BREAK-IN ATEMEMPT!" में / var / log / safe - इसका क्या अर्थ है?


96

मुझे एक VPS प्लेटफॉर्म पर चलने वाला CentOS 5.x बॉक्स मिला है। मेरे VPS होस्ट ने कनेक्टिविटी के बारे में मेरे पास एक समर्थन जांच की गलत व्याख्या की और प्रभावी रूप से कुछ iptables नियमों को फ्लश किया। यह मानक बंदरगाह पर सुनने और बंदरगाह कनेक्टिविटी परीक्षणों को स्वीकार करने में परिणामी था। कष्टप्रद।

अच्छी खबर यह है कि मुझे SSH अधिकृत कुंजी की आवश्यकता है। जहां तक ​​मैं बता सकता हूं, मुझे नहीं लगता कि कोई सफल उल्लंघन था। मैं अभी भी बहुत चिंतित हूँ कि मैं क्या देख रहा हूँ / var / log / Secure में:


Apr 10 06:39:27 echo sshd[22297]: reverse mapping checking getaddrinfo for 222-237-78-139.tongkni.co.kr failed - POSSIBLE BREAK-IN ATTEMPT!
Apr 10 13:39:27 echo sshd[22298]: Received disconnect from 222.237.78.139: 11: Bye Bye
Apr 10 06:39:31 echo sshd[22324]: Invalid user edu1 from 222.237.78.139
Apr 10 06:39:31 echo sshd[22324]: reverse mapping checking getaddrinfo for 222-237-78-139.tongkni.co.kr failed - POSSIBLE BREAK-IN ATTEMPT!
Apr 10 13:39:31 echo sshd[22330]: input_userauth_request: invalid user edu1
Apr 10 13:39:31 echo sshd[22330]: Received disconnect from 222.237.78.139: 11: Bye Bye
Apr 10 06:39:35 echo sshd[22336]: Invalid user test1 from 222.237.78.139
Apr 10 06:39:35 echo sshd[22336]: reverse mapping checking getaddrinfo for 222-237-78-139.tongkni.co.kr failed - POSSIBLE BREAK-IN ATTEMPT!
Apr 10 13:39:35 echo sshd[22338]: input_userauth_request: invalid user test1
Apr 10 13:39:35 echo sshd[22338]: Received disconnect from 222.237.78.139: 11: Bye Bye
Apr 10 06:39:39 echo sshd[22377]: Invalid user test from 222.237.78.139
Apr 10 06:39:39 echo sshd[22377]: reverse mapping checking getaddrinfo for 222-237-78-139.tongkni.co.kr failed - POSSIBLE BREAK-IN ATTEMPT!
Apr 10 13:39:39 echo sshd[22378]: input_userauth_request: invalid user test
Apr 10 13:39:39 echo sshd[22378]: Received disconnect from 222.237.78.139: 11: Bye Bye

वास्तव में "ATTEMPT में POSSIBLE BREAK-IN" का क्या अर्थ है? यह सफल था? या यह कि यह आईपी पसंद नहीं था अनुरोध से आ रहा था?

जवाबों:


78

दुर्भाग्य से यह अब एक बहुत ही सामान्य घटना है। यह SSH पर एक स्वचालित हमला है जो आपके सिस्टम में प्रयास करने और तोड़ने के लिए 'आम' उपयोगकर्ता नाम का उपयोग कर रहा है। संदेश का मतलब वही है जो वह कहता है, इसका मतलब यह नहीं है कि आपको हैक किया गया है, बस किसी ने कोशिश की।


धन्यवाद लेन। उससे मुझे बेहतर महसूस होता है। मुझे वास्तव में खुशी है कि मुझे ssh के लिए अधिकृत कुंजी की आवश्यकता है। =)
माइक बी

28
"रिवर्स मैपिंग चेकिंग गेटड्रीनोफॉयर" स्रोत आईपी / होस्टनाम के बारे में अधिक है जिसे तैयार किया गया है। वही तैयार ट्रैफ़िक खराब उपयोगकर्ता नामों की कोशिश कर रहा है, लेकिन खराब उपयोगकर्ता नाम "POSSIBLE BREAK-IN ATTEMPT" संदेश उत्पन्न नहीं करता है।
जहरखुरानी

11
@MikeyB: आप जोड़ने को देखने के लिए चाहते हो सकता है fail2ban आप व्यवस्था करने के लिए। इन हमलावरों के आईपी पते को स्वचालित रूप से ब्लॉक करने के लिए थिस को कॉन्फ़िगर किया जा सकता है।
user9517

9
ध्यान दें कि 'रिवर्स मैपिंग फेल' का सीधा मतलब यह हो सकता है कि उपयोगकर्ता के आईएसपी ने रिवर्स DNS को सही ढंग से कॉन्फ़िगर नहीं किया है, जो कि काफी सामान्य है। देखिए @Gaia का जवाब।
विल्फ्रेड ह्यूजेस

1
यह गलत है, इसका मतलब यह है कि रिवर्स DNS होस्टनाम से मेल नहीं खाता है जो ग्राहक को स्वयं की पहचान करने के लिए भेजा गया है। इसकी संभावना है कि इसका उपयोग .rhostsया .shostsप्रमाणीकरण (मैंने कभी ऐसा नहीं देखा है) का उपयोग करने वाले लोगों के लिए विराम हो सकता है । स्कैन होता है, लेकिन ऐसा नहीं है कि यह संदेश किस बारे में है (हालांकि कोई भी कनेक्शन इसे ट्रिगर कर सकता है) (स्कैन के लिए, असफल सामान्य / अज्ञात उपयोगकर्ता संदेश देखने के लिए बेहतर हैं)
Gert van den Berg

52

"POSSIBLE BREAK-IN ATTEMPT" भाग विशेष रूप से, "रिवर्स मैपिंग चेकिंग getaddrinfo विफल" भाग से संबंधित है। इसका अर्थ है कि जो व्यक्ति कनेक्ट कर रहा था, उसके पास अग्रेषित नहीं था और DNS को सही तरीके से कॉन्फ़िगर किया गया था। यह काफी सामान्य है, विशेष रूप से आईएसपी कनेक्शनों के लिए, जो कि "हमला" शायद वहां से आ रहा था।

"POSSIBLE BREAK-IN ATTEMPT" संदेश से असंबंधित, व्यक्ति वास्तव में आम उपयोगकर्ता नाम और पासवर्ड का उपयोग करने की कोशिश कर रहा है। SSH के लिए सरल पासवर्ड का उपयोग न करें; वास्तव में पासवर्ड को पूरी तरह से निष्क्रिय करने और केवल SSH कुंजी का उपयोग करने का सबसे अच्छा विचार है।


1
यदि यह ISP के माध्यम से (मान्य) कनेक्शन द्वारा उत्पन्न होता है, तो आप इस रिवर्स मैपिंग त्रुटि से छुटकारा पाने के लिए अपने / etc / मेजबान फ़ाइल में एक प्रविष्टि जोड़ सकते हैं। जाहिर है कि आप ऐसा केवल तभी करेंगे जब आपको पता चले कि त्रुटि सौम्य है और आप अपने लॉग को साफ करना चाहते हैं।
Artfulrobot

32

"वास्तव में" ATTEMPT में POSSIBLE BREAK-IN का क्या अर्थ है? "

इसका मतलब यह है कि नेटब्लॉक मालिक ने अपनी सीमा के भीतर एक स्थिर आईपी के लिए पीटीआर रिकॉर्ड को अपडेट नहीं किया, और कहा कि पीटीआर रिकॉर्ड पुराना है, या आईएसपी अपने गतिशील आईपी ग्राहकों के लिए उचित रिवर्स रिकॉर्ड सेटअप नहीं करता है। यह बहुत आम है, यहां तक ​​कि बड़े आईएसपी के लिए भी।

आप अपने लॉग इन में संदेश प्राप्त कर रहे हैं क्योंकि अनुचित पीटीआर रिकॉर्ड (उपरोक्त कारणों में से एक के कारण) के साथ आईपी से आने वाला कोई व्यक्ति एसएसएच को अपने सर्वर में उपयोग करने की कोशिश कर रहा है (संभवतः क्रूरतापूर्ण हमला, या शायद एक ईमानदार गलती। )।

इन अलर्ट को अक्षम करने के लिए, आपके पास दो विकल्प हैं:

1) यदि आपके पास एक स्थिर आईपी है , तो अपनी रिवर्स मैपिंग को अपने / etc / मेजबान फ़ाइल में जोड़ें (अधिक जानकारी यहाँ देखें ):

10.10.10.10 server.remotehost.com

2) यदि आपके पास एक गतिशील आईपी है और वास्तव में उन अलर्टों को दूर करना चाहते हैं, तो अपनी / etc / ssh / sshd_config फ़ाइल में "GSSAPIAuthentication Yes" पर टिप्पणी करें।


2
टिप्पणी GSSAPIAuthenticationकरने से मेरे मामले में मदद नहीं मिलती है (
सेट

UseDNS noशायद इससे छुटकारा पाने के लिए बेहतर सेटिंग है (और धीमे लॉगिन के कारण जब सर्वर में DNS समस्याएँ होती हैं ...)
गर्ट वैन डेन बर्ग

15

आप sshd_config (UseDNS no) में रिवर्स लुक-अप को बंद करके अपने लॉग को पढ़ना और जांचना आसान बना सकते हैं । यह sshd को "POSSIBLE BREAK-IN ATTEMPT" में "शोर" लाइनों को लॉग करने से रोकेगा, जिससे आप IPADDRESS से "अमान्य उपयोगकर्ता USER" वाली थोड़ी और दिलचस्प लाइनों पर ध्यान केंद्रित कर सकेंगे।


4
सार्वजनिक इंटरनेट से जुड़े सर्वर पर sshd रिवर्स लुकअप को अक्षम करने का नकारात्मक पहलू क्या है? क्या इस विकल्प को सक्षम करने में कोई उल्टा है?
एडी

2
@ मुझे लगता है कि sshd द्वारा निष्पादित DNS लुकअप कोई उपयोगी उद्देश्य नहीं है। DNS लुकअप को अक्षम करने के दो अच्छे कारण हैं। DNS लुकअप लॉग इन धीमा कर सकता है यदि लुकअप समय समाप्त हो जाता है। और "POSSIBLE BREAK-IN ATTEMPT" लॉग में संदेश भ्रामक हैं। उस संदेश का वास्तव में मतलब है कि क्लाइंट ने DNS को गलत तरीके से बनाया है।
कैस्परल्ड

1
मैं असहमत हूं @OlafM - "UseDNS no" sshd को रिवर्स मैपिंग चेक नहीं करने के लिए कहता है और इसलिए यह सिस्टम लॉग में "POSSIBLE BREAK-IN ATTEMPT" वाली किसी भी लाइन को नहीं जोड़ेगा। साइड-इफ़ेक्ट के रूप में यह मेजबानों से कनेक्शन के प्रयासों को गति दे सकता है, क्योंकि रिवर्स DNS को सही तरीके से कॉन्फ़िगर नहीं किया गया है।
टिमेट

1
हां @OlafM मैंने किया था, लगभग 4-5 साल पहले लिनक्स पर। इसने मेरे लॉग को काफी छोटा कर दिया और logcheckबेकार ईमेल रिपोर्ट के साथ मुझे रोक दिया ।
टिमेट

1
UseDNS(का उपयोग करने के लिए बुरा विचार) .rhostsऔर .shostsप्रमाणीकरण ( HostbasedAuthentication) के लिए मुख्य उपयोग है । (और FromSSHD कॉन्फिग और अधिकृत_की में मैच का विकल्प) (एक अलग सेटिंग है, HostbasedUsesNameFromPacketOnlyहालांकि होस्ट्स आधारित ऑर्टिकल के लिए रिवर्स लुकअप को स्विच करने की आवश्यकता हो सकती है, साथ ही Hostsbasedauthentication का उपयोग करने से भी बदतर विचार ...
गर्ट वैन डेन बर्ग

5

यह एक सफल लॉगिन आवश्यक नहीं है, लेकिन इसे "सकारात्मक" और "प्रयास" कहते हैं।

कुछ बुरे लड़के या स्क्रिप्ट किडी, आपको एक गलत मूल आईपी के साथ तैयार किए गए ट्रैफ़िक भेज रहे हैं।

आप अपनी SSH कुंजियों में मूल IP सीमाएँ जोड़ सकते हैं, और fail2ban की तरह कुछ आज़मा सकते हैं।


2
धन्यवाद। मेरे पास iptables केवल चुनिंदा स्रोतों से ssh कनेक्टिविटी की अनुमति देने के लिए सेट है। मैं भी स्थापित और चल विफल है।
माइक बी।
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.