我在我的服务器上得到了这个日志条目链(以及类似的重复):
Nov 24 07:38:59 server sshd[28676]: SSH: Server;Ltype: Version;Remote: 54.38.81.12-40482;Protocol: 2.0;Client: OpenSSH_7.2p2 Ubuntu-4ubuntu2.4
Nov 24 07:38:59 server sshd[28676]: SSH: Server;Ltype: Kex;Remote: 54.38.81.12-40482;Enc: aes128-cbc;MAC: [email protected];Comp: none [preauth]
Nov 24 07:39:00 server sshd[28676]: SSH: Server;Ltype: Authname;Remote: 54.38.81.12-40482;Name: anonymous [preauth]
Nov 24 07:39:00 server sshd[28676]: Accepted none for anonymous from 54.38.81.12 port 40482 ssh2
Nov 24 07:39:01 server sshd[28681]: refused local port forward: originator 127.0.0.1 port 46338, target 167.114.159.146 port 80
Nov 24 07:39:01 server sshd[28681]: refused local port forward: originator 127.0.0.1 port 47552, target 167.114.159.146 port 80
...
Nov 24 07:39:19 server sshd[28681]: Disconnected from 54.38.81.12
我很确定这是一次黑客攻击,但如何判断它是否成功?特别不清楚的是“不接受匿名”消息。这是否意味着我有一个名为匿名的无需密码即可登录,而黑客以匿名的并尝试转发一些本地端口(可能有一些已成功转发,因此没有被记录)?
尝试以以下身份登录匿名的以标准方式从本地网络(ssh anonymous@server)获得没有权限信息。
如果我没有被黑客入侵,我该如何防范这种攻击?已经安装失败2ban因为其他可疑的日志条目,但这是在安装之后发生的。
编辑1:
检查/etc/ssh/sshd_config文件后发现PermitEmptyPasswords已设置为no。所以应该没问题。
编辑2:
我对文件系统没有经验/proc,但这是我发现的:
user@server:~$ sudo file /proc/5931/exe
/proc/5931/exe: broken symbolic link to /usr/bin/sshd
user@server:~$ sudo which sshd
/usr/sbin/sshd
好的,file实用程序说这是一个损坏的符号链接,但如果我尝试,sudo hexdump /proc/5931/exe我会得到数据。这是正常的吗?
编辑3:
现在我知道原因了编辑2。我将两个系统混合在一起。我在 Synology NAS 上运行 chrooted Debian Stretch。/proc 文件系统中同时存在来自 Debian 和 Synology DSM 的进程。每个系统都有 sshd 可执行文件的另一个位置。
编辑4:
这表明less /proc/*/cmdline:
/usr/bin/sshd^@
sshd: user [priv]
sshd: user@pts/4^@
/usr/sbin/sshd^@
sshd: user [priv]
sshd: user@pts/3^@
编辑5:
我知道这里显示的不是可疑的登录本身。(user用我的用户名替换(彻底匿名化该输出)。)问题是我需要在匿名的用户登录后,他突然断开连接,所以我无法实时观看该过程。我该如何设置陷阱,以便能够对匿名的用户登录?
意识到用户匿名的仅存在于 Synology DSM 系统上。DSM 系统的日志是否也可能写入 chrooted Debian?尝试禁用 FTP 和 SFTP 服务,因为该用户属于FTP组,但用户仍在那里。DSM 系统上没有passwd命令usermod,所以我不确定如何禁用该用户的访问权限。匿名的他的 shell 已设置为/sbin/nologin,因此甚至不可能通过 SSH 登录并尝试端口转发。
编辑6:
检查了 Synology DSM 系统上的 SSH 配置。我更改了一些设置:
#PermitEmptyPasswords no-> 取消注释
# allow the use of the none cipher
#NoneEnabled no # uncommented
答案1
编辑 6 似乎解决了这个问题(至少这种攻击日志消失了):
检查了 Synology DSM 系统上的 SSH 配置。我更改了一些设置:
#PermitEmptyPasswords no-> 取消注释# allow the use of the none cipher #NoneEnabled no # uncommented