日志:“已收到来自...的断开连接”且没有“已接受”对应项

日志:“已收到来自...的断开连接”且没有“已接受”对应项

我看到很多包含此行的日志:

Nov  7 03:47:41 s1 sshd[23430]: Received disconnect from XX.XXX.XX.XX: 11:
Nov  7 05:08:16 s1 sshd[24474]: Received disconnect from XX.XXX.XX.XX: 11:
Nov  7 06:33:59 s1 sshd[25526]: Received disconnect from XX.XXX.XX.XX: 11:
Nov  7 08:06:33 s1 sshd[26601]: Received disconnect from XX.XXX.XX.XX: 11:
Nov  7 09:24:14 s1 sshd[27460]: Received disconnect from XX.XXX.XX.XX: 11:
Nov  7 10:59:49 s1 sshd[28821]: Received disconnect from XX.XXX.XX.XX: 11:
Nov  7 12:14:39 s1 sshd[29894]: Received disconnect from XX.XXX.XX.XX: 11:

我在这里只粘贴了 7 行,但日志文件中有数百行。IP 始终相同。

有人告诉我,这表明我的服务器已被黑客入侵,并且攻击者设法以某种方式清除了注册登录信息的日志条目,因为为了出现“断开连接”消息,我必须之前对同一 IP 有“接受...”消息。这是真的?

我的问题是:

  • 通过这些日志我能断定我的服务器确实被黑客入侵了吗?
  • 此消息到底是什么意思?我曾在某处读到过:11 代表:“SSH2_DISCONNECT_BY_APPLICATION”,但我不明白它真正的含义。

服务器运行 CentOS 并关闭了 SSH 密码验证。唯一显示“已接受公钥...”的日志来自我自己的公共 IP 地址。所以我猜他们不是通过这种方法登录的,除非攻击者真的在清除任何痕迹,对吗?

提前谢谢了。

答案1

这是暴力攻击

该方法尝试通过发送登录请求然后测试结果来查找登录访问权限,只要结果未登录,它就会重试另一个登录名/密码组合,直到获得访问权限

主要针对互联网:

  • FTP(通常为端口 21)
  • SSH(通常为端口 22)
  • TS(通常为端口 3389)
  • 网站登录页面(通常为端口 80 和 443)

为了防止此类攻击:

  • (如果可能)更改默认端口
  • 设置复杂的密码
  • 尝试避免使用基本登录名(admin/root/administrator,...)
  • 有一个“失败尝试”延缓器,这样会花费太多时间来找到好的登录名/密码组合。

如今大多数系统工具都足够安全,可以抵御此类攻击

我认为除非您的登录/密码级别较低,否则您不会被黑客入侵。除了尝试失败之外,此日志没有说明任何内容。

如果黑客登录了,他们会删除所有日志,而不仅仅是一些日志(浪费了太多时间)。

您可以做的是(如果您真的认为自己已被黑客入侵)检查您是否有一段没有日志或缺少日志的时期。

建议你可以使用一些工具来防止类似这样的攻击fail2ban

供参考,您的案例中的消息SSH2_DISCONNECT_BY_APPLICATION意味着这是来自用 Java 编写的僵尸网络的僵尸登录尝试

答案2

这只是来自浏览互联网的探测器的“垃圾邮件”。如果您不允许密码验证,它们并不危险。这些消息可能只是噪音,因为它们通常不知道除密码之外的任何其他验证。

为了减少噪音,可以设置一些fail2banfwknop或者将服务移至其他端口。

相关内容