“MUNGKIN BREAK-IN AtemEM!” Di / var / log / secure - apa artinya ini?

96

Saya memiliki kotak CentOS 5.x yang berjalan pada platform VPS. Tuan rumah VPS saya salah menafsirkan pertanyaan dukungan yang saya miliki tentang konektivitas dan secara efektif memunculkan beberapa aturan iptables. Ini menghasilkan ssh mendengarkan pada port standar dan mengakui tes konektivitas port. Mengganggu.

Berita baiknya adalah saya memerlukan kunci Resmi SSH. Sejauh yang saya tahu, saya tidak berpikir ada pelanggaran yang berhasil. Saya masih sangat khawatir tentang apa yang saya lihat di / var / log / secure:


Apr 10 06:39:27 echo sshd[22297]: reverse mapping checking getaddrinfo for 222-237-78-139.tongkni.co.kr failed - POSSIBLE BREAK-IN ATTEMPT!
Apr 10 13:39:27 echo sshd[22298]: Received disconnect from 222.237.78.139: 11: Bye Bye
Apr 10 06:39:31 echo sshd[22324]: Invalid user edu1 from 222.237.78.139
Apr 10 06:39:31 echo sshd[22324]: reverse mapping checking getaddrinfo for 222-237-78-139.tongkni.co.kr failed - POSSIBLE BREAK-IN ATTEMPT!
Apr 10 13:39:31 echo sshd[22330]: input_userauth_request: invalid user edu1
Apr 10 13:39:31 echo sshd[22330]: Received disconnect from 222.237.78.139: 11: Bye Bye
Apr 10 06:39:35 echo sshd[22336]: Invalid user test1 from 222.237.78.139
Apr 10 06:39:35 echo sshd[22336]: reverse mapping checking getaddrinfo for 222-237-78-139.tongkni.co.kr failed - POSSIBLE BREAK-IN ATTEMPT!
Apr 10 13:39:35 echo sshd[22338]: input_userauth_request: invalid user test1
Apr 10 13:39:35 echo sshd[22338]: Received disconnect from 222.237.78.139: 11: Bye Bye
Apr 10 06:39:39 echo sshd[22377]: Invalid user test from 222.237.78.139
Apr 10 06:39:39 echo sshd[22377]: reverse mapping checking getaddrinfo for 222-237-78-139.tongkni.co.kr failed - POSSIBLE BREAK-IN ATTEMPT!
Apr 10 13:39:39 echo sshd[22378]: input_userauth_request: invalid user test
Apr 10 13:39:39 echo sshd[22378]: Received disconnect from 222.237.78.139: 11: Bye Bye

Apa sebenarnya arti "BREAK-IN ATTEMPT"? Bahwa itu berhasil? Atau bahwa itu tidak suka IP dari mana permintaan itu berasal?

Mike B
sumber

Jawaban:

78

Sayangnya ini sekarang kejadian yang sangat umum. Ini adalah serangan otomatis pada SSH yang menggunakan nama pengguna 'umum' untuk mencoba dan masuk ke sistem Anda. Pesan itu persis seperti yang dikatakannya, bukan berarti Anda telah diretas, hanya seseorang yang mencoba.

Iain
sumber
Terima kasih lain Itu membuat saya merasa lebih baik. Saya sangat senang saya memerlukan kunci resmi untuk ssh. =)
Mike B
28
"reverse mapping checking getaddrinfo for" lebih lanjut tentang IP sumber / nama host yang dibuat. Lalu lintas buatan yang sama sedang mencoba nama pengguna yang buruk, tetapi nama pengguna yang buruk tidak menghasilkan pesan "POSTIFLE BREAK-IN ATTEMPT".
poisonbit
11
@ MikeyB: Anda mungkin ingin melihat menambahkan fail2ban ke sistem Anda. Ini dapat dikonfigurasi untuk memblokir alamat IP penyerang ini secara otomatis.
user9517
9
Perhatikan bahwa 'pemetaan terbalik gagal' dapat berarti ISP pengguna belum mengonfigurasi DNS terbalik dengan benar, yang sangat umum. Lihat jawaban @ Gaia.
Wilfred Hughes
1
Ini tidak akurat, itu hanya berarti reverse DNS tidak cocok dengan nama host yang dikirim klien untuk mengidentifikasi diri mereka. Kemungkinan ditandai karena itu mungkin merupakan penghentian dalam upaya orang yang menggunakan .rhostsatau .shostsotentikasi (saya belum pernah melihat yang digunakan). Pemindaian terjadi, tetapi bukan itu tujuan dari pesan ini (meskipun koneksi apa pun dapat memicunya) (Untuk pemindaian, pesan pengguna auth / gagal yang tidak diketahui lebih baik dicari)
Gert van den Berg
52

Bagian "POSSIBLE BREAK-IN ATTEMPT" secara khusus, terkait dengan bagian "pembalikan pemetaan pemeriksaan getaddrinfo gagal". Ini berarti orang yang terhubung tidak memiliki DNS maju dan mundur yang dikonfigurasi dengan benar. Ini cukup umum, terutama untuk koneksi ISP, yang merupakan tempat "serangan" itu mungkin berasal.

Tidak terkait dengan pesan "POSTUBLE BREAK-IN ATTEMPT", orang tersebut benar-benar mencoba untuk masuk menggunakan nama pengguna dan kata sandi yang umum. Jangan menggunakan kata sandi sederhana untuk SSH; sebenarnya ide terbaik untuk menonaktifkan kata sandi sama sekali dan hanya menggunakan kunci SSH.

Chris S
sumber
1
Jika itu dihasilkan oleh koneksi (valid) melalui ISP, Anda dapat menambahkan entri ke file / etc / hosts Anda untuk menghilangkan kesalahan pemetaan terbalik ini. Jelas Anda hanya akan melakukan ini jika Anda tahu bahwa kesalahan itu jinak dan ingin membersihkan log Anda.
artfulrobot
32

"Apa sebenarnya yang dimaksud" MUNGKIN BREAK-IN ATTEMPT "?"

Ini berarti bahwa pemilik netblock tidak memperbarui catatan PTR untuk IP statis dalam jangkauan mereka, dan mengatakan catatan PTR sudah usang, ATAU ISP tidak menyiapkan catatan balik yang tepat untuk pelanggan IP dinamisnya. Ini sangat umum, bahkan untuk ISP besar.

Anda akhirnya mendapatkan pesan dalam log Anda karena seseorang yang berasal dari IP dengan catatan PTR yang tidak benar (karena salah satu alasan di atas) mencoba menggunakan nama pengguna umum untuk mencoba SSH ke server Anda (mungkin serangan bruteforce, atau mungkin kesalahan jujur ).

Untuk menonaktifkan lansiran ini, Anda memiliki dua pilihan:

1) Jika Anda memiliki IP statis , tambahkan pemetaan balik Anda ke file / etc / hosts Anda (lihat info lebih lanjut di sini ):

10.10.10.10 server.remotehost.com

2) Jika Anda memiliki IP dinamis dan benar-benar ingin membuat peringatan itu hilang, komentari "GSSAPIAuthentication ya" di file / etc / ssh / sshd_config Anda.

Gaia
sumber
2
berkomentar GSSAPIAuthenticationtidak membantu dalam kasus saya (
SET
UseDNS nomungkin pengaturan yang lebih baik untuk menyingkirkannya (dan login lambat ketika server memiliki masalah DNS ...)
Gert van den Berg
15

Anda dapat membuat log Anda lebih mudah dibaca dan diperiksa dengan mematikan pencarian balik di sshd_config (UseDNS no). Ini akan mencegah sshd dari penebangan garis "noise" yang mengandung "POSTIBLE BREAK-IN ATTEMPT" membuat Anda berkonsentrasi pada baris yang sedikit lebih menarik yang berisi "PENGGUNA pengguna yang tidak valid dari IPADDRESS".

Tepat waktu
sumber
4
Apa downside untuk menonaktifkan sshd reverse lookup pada server yang terhubung ke Internet publik? Apakah ada sisi positifnya untuk membiarkan opsi ini diaktifkan?
Eddie
2
@ Eddie Saya tidak berpikir pencarian DNS yang dilakukan oleh sshd melayani tujuan yang bermanfaat. Ada dua alasan bagus untuk menonaktifkan pencarian DNS. Pencarian DNS dapat memperlambat login jika waktu pencarian habis. Dan pesan "MUNGKIN BREAK-IN ATTEMPT" di log adalah menyesatkan. Semua pesan itu benar-benar berarti bahwa klien memiliki DNS yang salah dikonfigurasi.
kasperd
1
Saya tidak setuju @OlafM - "UseDNS no" memberitahu sshd untuk tidak melakukan pemeriksaan pemetaan terbalik dan oleh karena itu tidak akan menambahkan baris yang berisi "POSSIBLE BREAK-IN ATTEMPT" ke log sistem. Sebagai efek samping itu juga dapat mempercepat upaya koneksi dari host daripada tidak memiliki DNS terbalik yang dikonfigurasi dengan benar.
TimT
1
Ya @ Elaf saya lakukan, sekitar 4-5 tahun yang lalu di Linux. Itu jauh memperpendek log saya dan berhenti logcheckmenggangguku dengan laporan email yang tidak berharga.
TimT
1
Penggunaan utama UseDNSadalah untuk (ide buruk untuk digunakan) .rhostsdan .shostsotentikasi ( HostbasedAuthentication). (Dan Fromopsi kecocokan dalam konfigurasi SSHD dan Authorized_keys) (Ada pengaturan terpisah HostbasedUsesNameFromPacketOnlyyang mungkin diperlukan untuk beralih dari pencarian terbalik untuk auth berbasis Host juga, ide yang lebih buruk daripada menggunakan Hostsbasedauthentication ...)
Gert van den Berg
5

Tidak perlu login yang sukses, tetapi apa yang tertulis "posible" dan "usaha".

Beberapa anak nakal atau skrip kiddie, mengirimi Anda traffic yang dibuat dengan IP asal yang salah.

Anda dapat menambahkan batasan IP asal ke kunci SSH Anda, dan coba sesuatu seperti fail2ban.

racun
sumber
2
Terima kasih. Saya memiliki iptables yang diatur agar hanya membolehkan konektivitas ssh dari sumber tertentu. Saya juga telah menginstal dan menjalankan fail2ban.
Mike B