SSH 攻击,其用户名如何出现在 auth.log 中?(pw auth 已禁用)

SSH 攻击,其用户名如何出现在 auth.log 中?(pw auth 已禁用)

因此,这台计算机可通过端口 22 访问(从任何地方)。
由于 /var/log/auth.log 中充斥着登录尝试失败的消息(用户名如 root、cgi、bash、production...),我已禁用来自外部 IP 的密码验证(仅使用公钥验证)。
这有效,当我尝试从外部 IP(没有密钥)通过 ssh 进入该计算机时,我甚至没有收到用户名提示:

权限被拒绝(公钥)。

那么为什么这些虚假用户名仍然会出现在 auth.log 中呢?

  1 Aug  4 17:02:48 host sshd[17190]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=217.116.204.99  user=root
  2 Aug  4 17:02:48 host sshd[17190]: pam_winbind(sshd:auth): getting password (0x00000388)  
  3 Aug  4 17:02:48 host sshd[17190]: pam_winbind(sshd:auth): pam_get_item returned a password  
  4 Aug  4 17:02:48 host sshd[17190]: pam_winbind(sshd:auth): request wbcLogonUser failed: WBC_ERR_AUTH_ERROR, PAM error:

PAM_USER_UNKNOWN (10),NTSTATUS:NT_STATUS_NO_SUCH_USER,错误消息 4 年龄为:没有这样的用户
5 8 月 4 日 17:02:50 主机 sshd[17190]:来自 217.116.204.99 端口 40054 ssh2 的 root 密码失败
6 8 月 4 日 17:02:50 主机 sshd[17190]:收到来自 217.116.204.99 的断开连接:11:Bye Bye [preauth]
...
513322 4 月 7 日 19:45:40 主机 sshd[15986]:input_userauth_request:无效的用户 cgi [preauth]
...

http://paste.debian.net/92403/

答案1

虽然您没有输入用户名,但如果您从 linux/osx/bsd 工作站连接,则用户名是隐含的(默认为您登录的用户名),如果您有 windows 并使用 putty,请尝试连接而不设置自动登录用户名,并提供一个密钥,它会要求输入用户名来尝试匹配该对。

密钥仅替代密码,每个密钥都与一个用户(以及用户名)相关联,这就是为什么您会authorized_keys在 下找到该文件的原因~/.ssh/

您可能看到的是攻击者正在做类似的事情ssh bash@<your.server.ip>。服务器可以看到用户名,但由于他们没有提供密钥,因此被拒绝访问。

相关内容