log do sistema question- auth.log

Navegue suas respostas
3

Sou bem nova aqui. Eu estava olhando para os logs do meu sistema e percebi isso: 

Jul 21 00:57:47 htpc sshd[13001]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=188.120.248.13  user=root
Jul 21 00:57:49 htpc sshd[13001]: Failed password for root from 188.120.248.13 port 56899 ssh2
Jul 21 00:57:49 htpc sshd[13001]: Received disconnect from 188.120.248.13: 11: Bye Bye [preauth]
Jul 21 00:57:52 htpc sshd[13003]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=188.120.248.13  user=root
Jul 21 00:57:54 htpc sshd[13003]: Failed password for root from 188.120.248.13 port 54709 ssh2
Jul 21 00:57:54 htpc sshd[13003]: Received disconnect from 188.120.248.13: 11: Bye Bye [preauth]
Jul 21 00:57:57 htpc sshd[13005]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=188.120.248.13  user=root
Jul 21 00:57:58 htpc sshd[13005]: Failed password for root from 188.120.248.13 port 59488 ssh2
Jul 21 00:57:58 htpc sshd[13005]: Received disconnect from 188.120.248.13: 11: Bye Bye [preauth]

Apenas continua. Alguém sabe o que é exatamente?

Obrigado antecipadamente.

    
por user431432 20.07.2015 / 17:09

2 respostas

3

Robôs tentando adivinhar sua senha. Quando você tem um IP público e um serviço em execução na porta aberta, eles estão tentando o tempo todo.

Se você não for especialmente segmentado e tiver senhas razoavelmente strongs ou autenticação de senha desativada, elas serão inofensivas. Está apenas comendo o tempo do processador.

Você pode lutar contra isso escondendo o seu serviço em uma porta diferente, escondendo-o por trás de algum serviço de bloqueio de porta ( fwknop ) ou banindo essas solicitações on-the-fly usando fail2ban .

    
O
por Jakuje 20.07.2015 / 17:16
2

Isso parece que tentativas repetidas de fazer login como usuário root via ssh, seja uma pessoa real ou um bot, não são claras ou particularmente relevantes. A verificação inversa do IP mostra que é proveniente da Rússia.

Não é uma boa ideia poder usar o ssh no seu sistema como root exatamente por esse motivo. É claro que, se você já negou o acesso, ou não ativou a senha do usuário root, ela não poderá entrar de qualquer maneira! Há um monte de botnets na internet, procurando por portas abertas e tentando decifrar as senhas. Se a senha for encontrada, e o usuário root puder acessar via ssh, o controle total do seu sistema será entregue aos bandidos!

Uma boa maneira de eliminar isso é negar o acesso root via ssh, adicionando uma linha ao arquivo encontrado em /etc/ssh/sshd_config . A seguinte linha seria útil para adicionar: 

DenyUsers root

E / ou 

PermitRootLogin no

Faça o serviço ssh recarregar suas alterações com: 

sudo service ssh restart

Um ótimo link sobre o endurecimento do seu servidor ssh pode ser encontrado aqui

    
por Arronical 20.07.2015 / 17:20

Tags

tee resulta em um arquivo nulo Como posso bifurcar um PPA?