我昨天在 HP ProLiant 360 G4 上设置了我的 Debian 服务器。我从最低限度的服务开始,只运行 SSH 和 Apache,所有服务都在标准端口上使用默认配置。
大约一小时前,我注意到系统出现了异常。延迟明显增加,我无法执行远程重启。我设法在大约 15 分钟内让服务器断网。
我查看了日志并发现以下条目auth.log
:
4 月 3 日 17:31:35 karel sshd[25941]: input_userauth_request: 无效用户 takeuchi [preauth] 4 月 3 日 17:31:35 karel sshd[25941]: pam_unix(sshd:auth): 检查通过;用户未知 4 月 3 日 17:31:35 karel sshd[25941]: pam_unix(sshd:auth): 身份验证失败;logname=uid=0 euid=0 tty=ssh ruser=rhost=rrcs-70-61-237-202.central.biz.rr.com 4 月 3 日 17:31:37 karel sshd[25941]: 来自 70.61.237.202 端口 53004 ssh2 的无效用户 takeuchi 的密码失败 4 月 3 日 17:31:37 karel sshd[25941]: 收到来自 70.61.237.202 的断开连接:11:再见 [预认证] 4 月 3 日 17:31:39 karel sshd[25943]: 来自 70.61.237.202 的无效用户 takeuchi 4 月 3 日 17:31:39 karel sshd[25943]: input_userauth_request: 无效用户 takeuchi [preauth] 4 月 3 日 17:31:39 karel sshd[25943]: pam_unix(sshd:auth): 检查通过;用户未知 4 月 3 日 17:31:39 karel sshd[25943]: pam_unix(sshd:auth): 身份验证失败;logname=uid=0 euid=0 tty=ssh ruser=rhost=rrcs-70-61-237-202.central.biz.rr.com 4 月 3 日 17:31:41 karel sshd[25943]: 来自 70.61.237.202 端口 30756 ssh2 的无效用户 takeuchi 的密码失败 4 月 3 日 17:31:41 karel sshd[25943]: 收到来自 70.61.237.202 的断开连接:11:再见 [预认证] 4 月 3 日 17:31:42 karel sshd[25945]: 来自 70.61.237.202 的无效用户 takeuchi 4 月 3 日 17:31:42 karel sshd[25945]: input_userauth_request: 无效用户 takeuchi [preauth] 4 月 3 日 17:31:42 karel sshd[25945]: pam_unix(sshd:auth): 检查通过;用户未知 4 月 3 日 17:31:42 karel sshd[25945]: pam_unix(sshd:auth): 身份验证失败;logname=uid=0 euid=0 tty=ssh ruser=rhost=rrcs-70-61-237-202.central.biz.rr.com 4 月 3 日 17:31:45 karel sshd[25945]: 来自 70.61.237.202 端口 43388 ssh2 的无效用户 takeuchi 的密码失败 4 月 3 日 17:31:45 karel sshd[25945]: 收到来自 70.61.237.202 的断开连接:11:再见 [预认证] 4 月 3 日 17:31:46 karel sshd[25947]: 来自 70.61.237.202 的无效用户 takeuchi 4 月 3 日 17:31:46 karel sshd[25947]: input_userauth_request: 无效用户 takeuchi [preauth] 4 月 3 日 17:31:46 karel sshd[25947]: pam_unix(sshd:auth): 检查通过;用户未知 4 月 3 日 17:31:46 karel sshd[25947]: pam_unix(sshd:auth): 身份验证失败;logname=uid=0 euid=0 tty=ssh ruser=rhost=rrcs-70-61-237-202.central.biz.rr.com 4 月 3 日 17:31:49 karel sshd[25947]: 来自 70.61.237.202 端口 29640 ssh2 的无效用户 takeuchi 的密码失败 4 月 3 日 17:31:49 karel sshd[25947]: 收到来自 70.61.237.202 的断开连接:11:再见 [预认证] 4 月 3 日 17:31:50 karel sshd[25949]: 来自 70.61.237.202 的无效用户 takeuchi 4 月 3 日 17:31:50 karel sshd[25949]: input_userauth_request: 无效用户 takeuchi [preauth] 4 月 3 日 17:31:50 karel sshd[25949]: pam_unix(sshd:auth): 检查通过;用户未知 4 月 3 日 17:31:50 karel sshd[25949]: pam_unix(sshd:auth): 身份验证失败;logname=uid=0 euid=0 tty=ssh ruser=rhost=rrcs-70-61-237-202.central.biz.rr.com 4 月 3 日 17:31:52 karel sshd[25949]: 来自 70.61.237.202 端口 56323 ssh2 的无效用户 takeuchi 的密码失败 4 月 3 日 17:31:52 karel sshd[25949]: 收到来自 70.61.237.202 的断开连接:11:再见 [预认证] 4 月 3 日 17:31:54 karel sshd[25951]: 来自 70.61.237.202 的无效用户 takeuchi 4 月 3 日 17:31:54 karel sshd[25951]: input_userauth_request: 无效用户 takeuchi [preauth] 4 月 3 日 17:31:54 karel sshd[25951]: pam_unix(sshd:auth): 检查通过;用户未知 4 月 3 日 17:31:54 karel sshd[25951]: pam_unix(sshd:auth): 身份验证失败;logname=uid=0 euid=0 tty=ssh ruser=rhost=rrcs-70-61-237-202.central.biz.rr.com 4 月 3 日 17:31:56 karel sshd[25951]: 来自 70.61.237.202 端口 54603 ssh2 的无效用户 takeuchi 的密码失败 4 月 3 日 17:31:56 karel sshd[25951]: 收到来自 70.61.237.202 的断开连接:11:再见 [预认证] 4 月 3 日 17:31:57 karel sshd[25953]: 来自 70.61.237.202 的无效用户 takeuchi 4 月 3 日 17:31:57 karel sshd[25953]: input_userauth_request: 无效用户 takeuchi [preauth] 4 月 3 日 17:31:57 karel sshd[25953]: pam_unix(sshd:auth): 检查通过;用户未知 4 月 3 日 17:31:57 karel sshd[25953]: pam_unix(sshd:auth): 身份验证失败;logname=uid=0 euid=0 tty=ssh ruser=rhost=rrcs-70-61-237-202.central.biz.rr.com 4 月 3 日 17:31:59 karel sshd[25953]: 来自 70.61.237.202 端口 30332 ssh2 的无效用户 takeuchi 的密码失败 4 月 3 日 17:31:59 karel sshd[25953]: 收到来自 70.61.237.202 的断开连接:11:再见 [预认证] 4 月 3 日 17:32:01 karel sshd[25955]: 来自 70.61.237.202 的无效用户 takeuchi 4 月 3 日 17:32:01 karel sshd[25955]: input_userauth_request: 无效用户 takeuchi [preauth] 4 月 3 日 17:32:01 karel sshd[25955]: pam_unix(sshd:auth): 检查通过;用户未知 4 月 3 日 17:32:01 karel sshd[25955]: pam_unix(sshd:auth): 身份验证失败;logname=uid=0 euid=0 tty=ssh ruser=rhost=rrcs-70-61-237-202.central.biz.rr.com 4 月 3 日 17:32:03 karel sshd[25955]: 来自 70.61.237.202 端口 30855 ssh2 的无效用户 takeuchi 的密码失败 4 月 3 日 17:32:03 karel sshd[25955]: 收到来自 70.61.237.202 的断开连接:11:再见 [预认证] 4 月 3 日 17:32:04 karel sshd[25957]: 来自 70.61.237.202 的无效用户 takeuchi 4 月 3 日 17:32:04 karel sshd[25957]: input_userauth_request: 无效用户 takeuchi [preauth] 4 月 3 日 17:32:04 karel sshd[25957]: pam_unix(sshd:auth): 检查通过;用户未知 4 月 3 日 17:32:04 karel sshd[25957]: pam_unix(sshd:auth): 身份验证失败;logname=uid=0 euid=0 tty=ssh ruser=rhost=rrcs-70-61-237-202.central.biz.rr.com 4 月 3 日 17:32:07 karel sshd[25957]: 来自 70.61.237.202 端口 31154 ssh2 的无效用户 takeuchi 的密码失败 4 月 3 日 17:32:07 karel sshd[25957]: 收到来自 70.61.237.202 的断开连接:11:再见 [预认证] 4 月 3 日 17:32:08 karel sshd[25959]: 来自 70.61.237.202 的无效用户 wut 4 月 3 日 17:32:08 karel sshd[25959]: input_userauth_request: 无效用户 wut [preauth] 4 月 3 日 17:32:08 karel sshd[25959]: pam_unix(sshd:auth): 检查通过;用户未知 4 月 3 日 17:32:08 karel sshd[25959]: pam_unix(sshd:auth): 身份验证失败;logname=uid=0 euid=0 tty=ssh ruser=rhost=rrcs-70-61-237-202.central.biz.rr.com 4 月 3 日 17:32:11 karel sshd[25959]: 来自 70.61.237.202 端口 59904 ssh2 的无效用户 wut 的密码失败 4 月 3 日 17:32:11 karel sshd[25959]: 收到来自 70.61.237.202 的断开连接:11:再见 [预认证] 4 月 3 日 17:32:12 karel sshd[25961]: 来自 70.61.237.202 的无效用户 wut 4 月 3 日 17:32:12 karel sshd[25961]: input_userauth_request: 无效用户 wut [preauth] 4 月 3 日 17:32:12 karel sshd[25961]: pam_unix(sshd:auth): 检查通过;用户未知 4 月 3 日 17:32:12 karel sshd[25961]: pam_unix(sshd:auth): 身份验证失败;logname=uid=0 euid=0 tty=ssh ruser=rhost=rrcs-70-61-237-202.central.biz.rr.com 4 月 3 日 17:32:14 karel sshd[25961]: 来自 70.61.237.202 端口 45945 ssh2 的无效用户 wut 的密码失败 4 月 3 日 17:32:14 karel sshd[25961]: 收到来自 70.61.237.202 的断开连接:11:再见 [预认证] 4 月 3 日 17:32:15 karel sshd[25963]: 来自 70.61.237.202 的无效用户 wut 4 月 3 日 17:32:15 karel sshd[25963]: input_userauth_request: 无效用户 wut [preauth] 4 月 3 日 17:32:15 karel sshd[25963]: pam_unix(sshd:auth): 检查通过;用户未知 4 月 3 日 17:32:15 karel sshd[25963]: pam_unix(sshd:auth): 身份验证失败;logname=uid=0 euid=0 tty=ssh ruser=rhost=rrcs-70-61-237-202.central.biz.rr.com 4 月 3 日 17:32:18 karel sshd[25963]: 来自 70.61.237.202 端口 52652 ssh2 的无效用户 wut 的密码失败 4 月 3 日 17:32:18 karel sshd[25963]: 收到来自 70.61.237.202 的断开连接:11:再见 [预认证] 4 月 3 日 17:32:19 karel sshd[25965]: 来自 70.61.237.202 的无效用户 wut 4 月 3 日 17:32:19 karel sshd[25965]: input_userauth_request: 无效用户 wut [preauth] 4 月 3 日 17:32:19 karel sshd[25965]: pam_unix(sshd:auth): 检查通过;用户未知 4 月 3 日 17:32:19 karel sshd[25965]: pam_unix(sshd:auth): 身份验证失败;logname=uid=0 euid=0 tty=ssh ruser=rhost=rrcs-70-61-237-202.central.biz.rr.com 4 月 3 日 17:32:21 karel sshd[25965]: 来自 70.61.237.202 端口 34513 ssh2 的无效用户 wut 的密码失败 4 月 3 日 17:32:21 karel sshd[25965]: 收到来自 70.61.237.202 的断开连接:11:再见 [预认证] 4 月 3 日 17:32:23 karel sshd[25967]: 来自 70.61.237.202 的无效用户 wut 4 月 3 日 17:32:23 karel sshd[25967]: input_userauth_request: 无效用户 wut [preauth] 4 月 3 日 17:32:23 karel sshd[25967]: pam_unix(sshd:auth): 检查通过;用户未知 4 月 3 日 17:32:23 karel sshd[25967]: pam_unix(sshd:auth): 身份验证失败;logname=uid=0 euid=0 tty=ssh ruser=rhost=rrcs-70-61-237-202.central.biz.rr.com 4 月 3 日 17:32:24 karel sshd[25967]: 来自 70.61.237.202 端口 32538 ssh2 的无效用户 wut 的密码失败 4 月 3 日 17:32:24 karel sshd[25967]: 收到来自 70.61.237.202 的断开连接:11:再见 [预认证]
我是否应该担心潜在的系统漏洞?我的账户使用了强密码,并且当时 root 登录被禁用。如果我为 SSH 打开不同的端口会有帮助吗?
谢谢!
答案1
是的,您正遭受攻击,是的,您应该担心系统被攻破,即使您使用了强大的 SSH 密码。
你应该:
将 SSH 移至非标准端口。
- 移动 SSH 不会阻止专门的攻击者找到您的服务,但它会挫败用于绝大多数远程暴力攻击的机器人。它们只会攻击默认端口。
- 移动 SSH 不会阻止专门的攻击者找到您的服务,但它会挫败用于绝大多数远程暴力攻击的机器人。它们只会攻击默认端口。
- 为 SSH 登录设置证书身份验证。
答案2
扩展一下上面 HopelessN00b 的回答:
- 您还可以使用以下方法限制尝试次数iptables 的限制模块。或者,如果您使用 Shorewall,使用其 LIMIT 操作完成相同的任务。在 fail2ban 和此方法之间,我在标准端口上的 SSH 服务只能偶尔对一两个用户进行心不在焉的猜测,然后潜在攻击者就会继续前进。
- 使用
AllowGroups
sshd_config 中的选项首先限制哪些用户可以进入(我sshusers
为此目的创建了一个特殊组)。确保常用用户名(尤其是 root,但也包括其他常用用户名,如 webmaster、postmaster 等)不在此组中。 - 在同一个文件中,确保设置
PermitRootLogin
为no
。对我的服务器的攻击中,有 50% 都试图访问 root,这确保无论他们如何努力,都不会成功。sudo
无论如何,您应该始终以您的用户身份登录并在必要时使用,因此这不会妨碍您的服务器用户。
您自己成为攻击目标的可能性极小;最有可能的是一个随机机器人扫描 IP 范围,发现了您的服务器并试图进入。这种情况经常发生,而且很常见。只需确保您的服务器安全,注意未经授权的访问迹象(例如,如果更改,可以提醒您的 Zabbix 等监控系统/etc/passwd
是一个很好的第一步),否则不要担心。
更高级的方法是,你可以使用一种称为“端口敲击”的技术来完全掩盖 SSH 服务的存在,除非有人知道“秘密敲击”来揭示它。不过,这不是一种简单的技术,而且使用起来更困难,因为没有可以与之配合使用的 SSH 客户端,因此你必须使用额外的工具来实现这一目的。因此,我并不推荐它。
答案3
我不会关心你日志中的这些行。它们只显示有人试图猜测一些根本不存在的用户的密码。
我认为这些日志行无法解释延迟增加的原因。即使您在延迟发生时尝试找出原因,也很难找到延迟增加的原因。事后找出延迟增加的原因可能是不可能的。这可能是您和服务器之间某处的路由器暂时拥塞。
无法重新启动机器令人担忧 - 除非你的意思是由于网络问题而无法与服务器建立连接。
您可以查看其他日志,了解可能发生的情况。如果您还没有这样做,您应该查看/var/log/syslog
。