«ВОЗМОЖНАЯ ПРОБЛЕМА ВХОДА!» В / var / log / secure - что это значит?

96

У меня установлен CentOS 5.x на платформе VPS. Мой VPS-хост неверно истолковал запрос службы поддержки о подключении и фактически сбросил некоторые правила iptables. Это привело к прослушиванию SSH на стандартном порте и подтверждении тестов на подключение к порту. Раздражает.

Хорошей новостью является то, что мне требуются SSH авторизованные ключи. Насколько я могу судить, я не думаю, что было успешное нарушение. Я все еще очень обеспокоен тем, что я вижу в / var / log / secure:


Apr 10 06:39:27 echo sshd[22297]: reverse mapping checking getaddrinfo for 222-237-78-139.tongkni.co.kr failed - POSSIBLE BREAK-IN ATTEMPT!
Apr 10 13:39:27 echo sshd[22298]: Received disconnect from 222.237.78.139: 11: Bye Bye
Apr 10 06:39:31 echo sshd[22324]: Invalid user edu1 from 222.237.78.139
Apr 10 06:39:31 echo sshd[22324]: reverse mapping checking getaddrinfo for 222-237-78-139.tongkni.co.kr failed - POSSIBLE BREAK-IN ATTEMPT!
Apr 10 13:39:31 echo sshd[22330]: input_userauth_request: invalid user edu1
Apr 10 13:39:31 echo sshd[22330]: Received disconnect from 222.237.78.139: 11: Bye Bye
Apr 10 06:39:35 echo sshd[22336]: Invalid user test1 from 222.237.78.139
Apr 10 06:39:35 echo sshd[22336]: reverse mapping checking getaddrinfo for 222-237-78-139.tongkni.co.kr failed - POSSIBLE BREAK-IN ATTEMPT!
Apr 10 13:39:35 echo sshd[22338]: input_userauth_request: invalid user test1
Apr 10 13:39:35 echo sshd[22338]: Received disconnect from 222.237.78.139: 11: Bye Bye
Apr 10 06:39:39 echo sshd[22377]: Invalid user test from 222.237.78.139
Apr 10 06:39:39 echo sshd[22377]: reverse mapping checking getaddrinfo for 222-237-78-139.tongkni.co.kr failed - POSSIBLE BREAK-IN ATTEMPT!
Apr 10 13:39:39 echo sshd[22378]: input_userauth_request: invalid user test
Apr 10 13:39:39 echo sshd[22378]: Received disconnect from 222.237.78.139: 11: Bye Bye

Что именно означает «ВОЗМОЖНАЯ ПРОБЛЕМА ВСТУПЛЕНИЯ»? Чтобы это было успешно? Или что ему не понравился IP-адрес, с которого поступал запрос?

Майк Б
источник

Ответы:

78

К сожалению, в настоящее время это очень распространенное явление. Это автоматическая атака на SSH, которая использует «общие» имена пользователей, чтобы попытаться проникнуть в вашу систему. Сообщение означает именно то, что оно говорит, это не означает, что вас взломали, просто кто-то пытался.

Iain
источник
Спасибо, Лейн. Это заставляет меня чувствовать себя лучше. Я очень рад, что мне нужны авторизованные ключи для SSH. =)
Майк Б
28
«Проверка обратного отображения для getaddrinfo» больше относится к исходному IP / имени хоста. Тот же самый созданный трафик пытается использовать неверные имена пользователей, но неверные имена пользователей не генерируют сообщение «ВОЗМОЖНАЯ ПРОБЛЕМА ВСТУПЛЕНИЯ».
ядовит
11
@MikeyB: вы можете посмотреть, как добавить fail2ban в вашу систему. Это можно настроить для автоматической блокировки IP-адресов этих злоумышленников.
user9517
9
Обратите внимание, что «обратное сопоставление не удалось» может просто означать, что интернет-провайдер пользователя неправильно настроил обратный DNS, что довольно часто встречается. Смотрите ответ @Gaia.
Уилфред Хьюз
1
Это неточно, это просто означает, что обратный DNS не совпадает с именем хоста, который клиент отправил для идентификации себя. Скорее всего, он помечен, поскольку это может быть попыткой перерыва для людей, использующих .rhostsили .shostsаутентифицирующих (я никогда не видел, чтобы они использовали). Сканирование происходит, но это не то, о чем говорится в этом сообщении (хотя любое соединение может инициировать его) (Для сканирования лучше поискать сообщения о неудачных аутентификационных / неизвестных пользователях)
Герт ван ден Берг,
52

Часть «ВОЗМОЖНАЯ ПРОБЛЕМА ВСТУПЛЕНИЯ», в частности, относится к части «проверка обратного отображения getaddrinfo fail». Это означает, что у человека, который подключался, не был правильно настроен прямой и обратный DNS. Это довольно распространенное явление, особенно для подключений к интернет-провайдерам, откуда, вероятно, исходила атака.

Независимо от сообщения «ВОЗМОЖНАЯ ПРОБЛЕМА ВСТУПЛЕНИЯ», человек фактически пытается взломать, используя общие имена пользователей и пароли. Не используйте простые пароли для SSH; На самом деле лучшая идея - отключить пароли и использовать только ключи SSH.

Крис С
источник
1
Если он генерируется (действительным) соединением через интернет-провайдера, вы можете добавить запись в файл / etc / hosts, чтобы избавиться от этой ошибки обратного сопоставления. Очевидно, вы сделали бы это, только если бы знали, что ошибка является доброкачественной, и хотите очистить ваши журналы.
artfulrobot
32

«Что именно означает« ВОЗМОЖНАЯ ПРОБЛЕМА ВСТУПЛЕНИЯ »?»

Это означает, что владелец сетевого блока не обновил запись PTR для статического IP-адреса в пределах своего диапазона и сказал, что запись PTR устарела, ИЛИ провайдер не установил надлежащие обратные записи для своих клиентов с динамическим IP. Это очень распространено даже для крупных интернет-провайдеров.

В итоге вы получаете сообщение в своем журнале, потому что кто-то, пришедший с IP с неправильными записями PTR (по одной из указанных выше причин), пытается использовать обычные имена пользователей, чтобы попробовать SSH на вашем сервере (возможно, путем грубой атаки или, возможно, честной ошибкой). ).

Чтобы отключить эти оповещения, у вас есть два варианта:

1) Если у вас статический IP-адрес , добавьте обратное сопоставление в файл / etc / hosts (см. Дополнительную информацию здесь ):

10.10.10.10 server.remotehost.com

2) Если у вас динамический IP-адрес и вы действительно хотите отключить эти оповещения, закомментируйте «GSSAPIAuthentication yes» в файле / etc / ssh / sshd_config.

Gaia
источник
2
комментирование GSSAPIAuthenticationне помогает в моем случае (
SET
UseDNS noэто, вероятно, лучший способ избавиться от него (и от медленных входов в систему, когда на сервере возникают проблемы с DNS ...)
Герт ван ден Берг
15

Вы можете упростить чтение и проверку журналов, отключив обратный просмотр в sshd_config (UseDNS no). Это не позволит sshd регистрировать «шумовые» строки, содержащие «POSSIBLE BREAK-IN ATTEMPT», оставляя вам возможность сосредоточиться на несколько более интересных строках, содержащих «Invalid user USER from IPADDRESS».

TimT
источник
4
В чем недостаток отключения обратного поиска по sshd на сервере, подключенном к общедоступному Интернету? Есть ли какой-то плюс в том, чтобы оставить эту опцию включенной?
Эдди
2
@ Эдди Я не думаю, что поиск DNS, выполняемый sshd, служит какой-либо полезной цели. Есть две веские причины отключить поиск DNS. Поиск DNS может замедлить вход в систему, если время ожидания истекло. А сообщения «ВОЗМОЖНАЯ ПРОРЫВКА» в журнале вводят в заблуждение. На самом деле это сообщение означает, что клиент неправильно настроил DNS.
Касперд
1
Я не согласен с @OlafM - «UseDNS no» говорит sshd не выполнять проверку обратного сопоставления, и поэтому он не будет добавлять строки, содержащие «ВОЗМОЖНОЕ ПЕРЕХОД-ПОПЫТКУ», в системные журналы. Как побочный эффект это может также ускорить попытки соединения от хостов, которые не настроили обратный DNS правильно.
TimT
1
Да, @OlafM, 4-5 лет назад на Linux. Это значительно укоротило мои журналы и перестало logcheckдоставлять мне бесполезные сообщения по электронной почте.
TimT
1
Основное использование UseDNSдля (плохая идея для использования) .rhostsи .shostsаутентификации ( HostbasedAuthentication). (И Fromопция соответствия в конфигурации SSHD и authorized_keys) (Существует отдельная настройка, HostbasedUsesNameFromPacketOnlyкоторая, однако, может потребоваться для переключения обратного поиска для аутентификации на основе хостов, что хуже, чем использование аутентификации на основе хостов ...)
Герт ван ден Берг
5

Не обязательно успешный вход в систему, но то, что там написано «возможно» и «попытка».

Какой-то плохой парень или сценарист-детишка отправляет вам специально созданный трафик с IP-адресом ложного происхождения.

Вы можете добавить исходные IP-ограничения к своим SSH-ключам и попробовать что-то вроде fail2ban.

poisonbit
источник
2
Благодарю. У меня iptables установлен, чтобы разрешить подключение SSH только из избранных источников. У меня также есть fail2ban установлен и работает.
Майк Б