root@host [/var/log]# tail -f secure
Jan 3 20:16:10 host sshd[22670]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=61.142.131.120 user=root
Jan 3 20:16:12 host sshd[22670]: Failed password for root from 61.142.131.120 port 9303 ssh2
Jan 3 20:16:15 host sshd[22670]: Failed password for root from 61.142.131.120 port 9303 ssh2
Jan 3 20:16:18 host sshd[22670]: Failed password for root from 61.142.131.120 port 9303 ssh2
Jan 3 20:16:18 host sshd[22684]: Disconnecting: Too many authentication failures for root
Jan 3 20:16:18 host sshd[22670]: PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=61.142.131.120 user=root
Jan 3 20:16:26 host sshd[23127]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=61.142.131.120 user=root
Jan 3 20:16:28 host sshd[23127]: Failed password for root from 61.142.131.120 port 33913 ssh2
Jan 3 20:16:29 host sshd[23127]: Failed password for root from 61.142.131.120 port 33913 ssh2
Jan 3 20:16:30 host sshd[23154]: Connection closed by 61.142.131.120
61.142.131.120 不是我的 IP。所以我不知道那个人是谁。而且我无法以 root 身份登录。我很幸运,我成功登录过一次。现在,即使我通过 passwd 更改密码后,我仍然无法登录到 whm 或 root。
请注意,即使我不再尝试登录,安全密码失败的报告仍然不断出现。
最后一切又恢复正常了,但是日志很奇怪
Jan 3 20:21:51 host sshd[1252]: reverse mapping checking getaddrinfo for fm-dyn-139-193-157-62.fast.net.id [139.193.157.62] failed - POSSIBLE BREAK-IN ATTEMPT!
Jan 3 20:21:55 host sshd[1252]: Accepted password for root from 139.193.157.62 port 29144 ssh2
Jan 3 20:21:55 host sshd[1252]: pam_unix(sshd:session): session opened for user root by (uid=0)
getaddrinfo 不起作用是什么意思?
答案1
getaddrinfo最有可能指的是支票sshd。当您尝试ssh进入某个系统时,它会对您的 IP 地址运行反向 DNS 查找,以查看它是否与您所说的身份匹配。本质上,这是一种防止欺骗的尝试。
这些日志看起来确实像是某种攻击。它不一定是有针对性的;人们确实尝试使用自动化工具随机闯入系统。正是由于这个原因,您永远不应该允许密码root登录。ssh确实,PermitRootLogininsshd_config应该设置为no.如果您绝对必须登录root(ssh这种情况几乎从来不会发生;有时,您需要一个程序来远程控制您的计算机,但您通常不需要),请在您的个人计算机上设置 SSH 密钥,并将公共密钥放在/root/.ssh/authorized_keys在远程计算机上键入。通过更改PermitRootLogin为without-passwordin来关闭密码 root 登录sshd_config。不过,它可能应该再次设置为no。
有关此类攻击的更多信息: “可能有闯入尝试!”在 /var/log/secure 中——这是什么意思?
答案2
这...
Jan 3 20:21:51 host sshd[1252]: reverse mapping checking getaddrinfo for fm-dyn-139-193-157-62.fast.net.id [139.193.157.62] failed - POSSIBLE BREAK-IN ATTEMPT!
...看起来它指的是这
顺便说一句,您确实应该禁止 root 登录。如果您没有机器的 root 访问权限,您应该考虑将所有文件保存到 USB 或其他设备上,然后重新安装您选择的发行版;最好是出于安全考虑,不要冒险。