Eu tenho uma caixa do CentOS 5.x em execução em uma plataforma VPS. Meu host VPS interpretou mal uma consulta de suporte que eu tinha sobre conectividade e liberou efetivamente algumas regras do iptables. Isso resultou em ssh escutando na porta padrão e reconhecendo os testes de conectividade de portas. Irritante.
A boa notícia é que eu preciso de chaves SSH Autorizadas. Tanto quanto eu posso dizer, eu não acho que houve qualquer violação bem sucedida. Ainda estou muito preocupado com o que estou vendo em / var / log / secure:
Apr 10 06:39:27 echo sshd[22297]: reverse mapping checking getaddrinfo for 222-237-78-139.tongkni.co.kr failed - POSSIBLE BREAK-IN ATTEMPT!
Apr 10 13:39:27 echo sshd[22298]: Received disconnect from 222.237.78.139: 11: Bye Bye
Apr 10 06:39:31 echo sshd[22324]: Invalid user edu1 from 222.237.78.139
Apr 10 06:39:31 echo sshd[22324]: reverse mapping checking getaddrinfo for 222-237-78-139.tongkni.co.kr failed - POSSIBLE BREAK-IN ATTEMPT!
Apr 10 13:39:31 echo sshd[22330]: input_userauth_request: invalid user edu1
Apr 10 13:39:31 echo sshd[22330]: Received disconnect from 222.237.78.139: 11: Bye Bye
Apr 10 06:39:35 echo sshd[22336]: Invalid user test1 from 222.237.78.139
Apr 10 06:39:35 echo sshd[22336]: reverse mapping checking getaddrinfo for 222-237-78-139.tongkni.co.kr failed - POSSIBLE BREAK-IN ATTEMPT!
Apr 10 13:39:35 echo sshd[22338]: input_userauth_request: invalid user test1
Apr 10 13:39:35 echo sshd[22338]: Received disconnect from 222.237.78.139: 11: Bye Bye
Apr 10 06:39:39 echo sshd[22377]: Invalid user test from 222.237.78.139
Apr 10 06:39:39 echo sshd[22377]: reverse mapping checking getaddrinfo for 222-237-78-139.tongkni.co.kr failed - POSSIBLE BREAK-IN ATTEMPT!
Apr 10 13:39:39 echo sshd[22378]: input_userauth_request: invalid user test
Apr 10 13:39:39 echo sshd[22378]: Received disconnect from 222.237.78.139: 11: Bye Bye
O que exatamente significa "TENTATIVA DE INTERRUPÇÃO POSSÍVEL"? Que foi bem sucedido? Ou que não gostou do IP de onde o pedido estava vindo?
Infelizmente isso agora é uma ocorrência muito comum. É um ataque automatizado ao SSH que está usando nomes de usuários 'comuns' para tentar invadir seu sistema. A mensagem significa exatamente o que diz, isso não significa que você tenha sido hackeado, apenas que alguém tentou.
A parte "ATTEMPLE BREAK-IN ATTEMPT", especificamente, está relacionada à parte "reverse mapping checking getaddrinfo failed". Isso significa que a pessoa que estava se conectando não tinha DNS direto e reverso configurado corretamente. Isso é bastante comum, especialmente para conexões ISP, que é onde o "ataque" provavelmente estava vindo.
Sem relação com a mensagem "POSTE POSITIVA BREAK-IN ATTEMPT", a pessoa está realmente tentando invadir o uso de nomes de usuário e senhas comuns. Não use senhas simples para SSH; na verdade, a melhor ideia é desabilitar totalmente as senhas e usar apenas as chaves SSH.
"What exactly does "POSSIBLE BREAK-IN ATTEMPT" mean?"
Isso significa que o proprietário do netblock não atualizou o registro PTR para um IP estático dentro de seu intervalo, e o registro PTR está desatualizado, OU um ISP não configura registros reversos adequados para seu IP dinâmico clientes. Isso é muito comum, mesmo para grandes ISPs.
Você acaba recebendo a msg no seu log porque alguém vindo de um IP com registros PTR indevidos (devido a um dos motivos acima) está tentando usar nomes de usuário comuns para tentar o SSH em seu servidor (possivelmente bruteforce attack, ou talvez um erro honesto).
Para desativar esses alertas, você tem duas opções:
1) Se você tiver um IP estático , adicione seu mapeamento reverso ao seu arquivo / etc / hosts (veja mais informações here ):
10.10.10.10 server.remotehost.com
2) Se você tiver um IP dinâmico e realmente quiser fazer com que esses alertas desapareçam, comente o "GSSAPIAuthentication yes" no seu arquivo / etc / ssh / sshd_config.
Você pode facilitar a leitura e verificação de seus registros por desligando lookp-ups reversos em sshd_config (UseDNS no). Isso evitará que o sshd registre as linhas de "ruído" que contêm "ATTEMPT POSSIBLE BREAK-IN", permitindo que você se concentre nas linhas um pouco mais interessantes que contêm "USER user inválido de IPADDRESS".
Não é necessário um login bem-sucedido, mas o que ele diz "posible" e "attempt".
Algum bad boy ou script kiddie, está enviando tráfego elaborado com um IP de origem falsa.
Você pode adicionar limitações de IP de origem às suas chaves SSH e tentar algo como fail2ban.