/var/log/secure 中出现“可能存在入侵尝试!”——这是什么意思?

tag-icon tag-icon linux security ssh centos
/var/log/secure 中出现“可能存在入侵尝试!”——这是什么意思?

我在 VPS 平台上运行着一个 CentOS 5.x 机器。我的 VPS 主机误解了我关于连接性的支持询问,并有效地刷新了一些 iptables 规则。这导致 ssh 监听标准端口并确认端口连接测试。真烦人。

好消息是我需要 SSH 授权密钥。据我所知,我认为没有任何成功的入侵。不过,我仍然非常担心我在 /var/log/secure 中看到的内容:

Apr 10 06:39:27 echo sshd[22297]: reverse mapping checking getaddrinfo for 222-237-78-139.tongkni.co.kr failed - POSSIBLE BREAK-IN ATTEMPT!
Apr 10 13:39:27 echo sshd[22298]: Received disconnect from 222.237.78.139: 11: Bye Bye
Apr 10 06:39:31 echo sshd[22324]: Invalid user edu1 from 222.237.78.139
Apr 10 06:39:31 echo sshd[22324]: reverse mapping checking getaddrinfo for 222-237-78-139.tongkni.co.kr failed - POSSIBLE BREAK-IN ATTEMPT!
Apr 10 13:39:31 echo sshd[22330]: input_userauth_request: invalid user edu1
Apr 10 13:39:31 echo sshd[22330]: Received disconnect from 222.237.78.139: 11: Bye Bye
Apr 10 06:39:35 echo sshd[22336]: Invalid user test1 from 222.237.78.139
Apr 10 06:39:35 echo sshd[22336]: reverse mapping checking getaddrinfo for 222-237-78-139.tongkni.co.kr failed - POSSIBLE BREAK-IN ATTEMPT!
Apr 10 13:39:35 echo sshd[22338]: input_userauth_request: invalid user test1
Apr 10 13:39:35 echo sshd[22338]: Received disconnect from 222.237.78.139: 11: Bye Bye
Apr 10 06:39:39 echo sshd[22377]: Invalid user test from 222.237.78.139
Apr 10 06:39:39 echo sshd[22377]: reverse mapping checking getaddrinfo for 222-237-78-139.tongkni.co.kr failed - POSSIBLE BREAK-IN ATTEMPT!
Apr 10 13:39:39 echo sshd[22378]: input_userauth_request: invalid user test
Apr 10 13:39:39 echo sshd[22378]: Received disconnect from 222.237.78.139: 11: Bye Bye

“可能尝试入侵”到底是什么意思?是成功入侵了吗?还是说它不喜欢发出请求的 IP?

答案1

不幸的是,这种情况现在非常常见。这是对 SSH 的自动攻击,它使用“常见”用户名试图侵入您的系统。该消息的意思正是它所说的,它并不意味着您已被黑客入侵,只是有人试图入侵。

答案2

具体来说,“可能存在入侵尝试”部分与“反向映射检查 getaddrinfo 失败”部分相关。这意味着连接的人没有正确配置正向和反向 DNS。这种情况很常见,尤其是对于 ISP 连接,而“攻击”可能就来自 ISP 连接。

与“可能入侵尝试”消息无关,此人实际上正在尝试使用常见用户名和密码入侵。不要对 SSH 使用简单密码;事实上,最好的办法是完全禁用密码,只使​​用 SSH 密钥。

答案3

“‘可能发生闯入企图’到底是什么意思?”

这意味着网络块所有者没有更新其范围内的静态 IP 的 PTR 记录,并且该 PTR 记录已过时,或者ISP 没有为动态 IP 用户设置适当的反向记录。这种情况非常常见,甚至大型 ISP 也是如此。

您最终会在日志中收到该消息,因为有人来自具有不正确 PTR 记录的 IP(由于上述原因之一)正尝试使用常见用户名尝试通过 SSH 进入您的服务器(可能是暴力攻击,也可能是无意之失)。

要禁用这些警报,您有两种选择:

1)如果你有静态 IP,将反向映射添加到 /etc/hosts 文件中(查看更多信息这里):

10.10.10.10 server.remotehost.com

2)如果你有动态 IP并且真正想让这些警报消失,请在 /etc/ssh/sshd_config 文件中注释掉“GSSAPIAuthentication yes”。

答案4

不一定需要成功登录,但需要“可能”和“尝试”。

一些坏孩子或脚本小子正在使用虚假来源 IP 向您发送精心设计的流量。

您可以为您的 SSH 密钥添加原始 IP 限制,并尝试类似 fail2ban 的操作。

相关内容