Acho que alguém tentou me hackear

0
root@host [/var/log]# tail -f secure
Jan  3 20:16:10 host sshd[22670]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=61.142.131.120  user=root
Jan  3 20:16:12 host sshd[22670]: Failed password for root from 61.142.131.120 port 9303 ssh2
Jan  3 20:16:15 host sshd[22670]: Failed password for root from 61.142.131.120 port 9303 ssh2
Jan  3 20:16:18 host sshd[22670]: Failed password for root from 61.142.131.120 port 9303 ssh2
Jan  3 20:16:18 host sshd[22684]: Disconnecting: Too many authentication failures for root
Jan  3 20:16:18 host sshd[22670]: PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=61.142.131.120  user=root
Jan  3 20:16:26 host sshd[23127]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=61.142.131.120  user=root
Jan  3 20:16:28 host sshd[23127]: Failed password for root from 61.142.131.120 port 33913 ssh2
Jan  3 20:16:29 host sshd[23127]: Failed password for root from 61.142.131.120 port 33913 ssh2
Jan  3 20:16:30 host sshd[23154]: Connection closed by 61.142.131.120

61.142.131.120 NÃO é meu IP. Então eu não sei quem é esse cara. Além disso, não consigo logar como root. Tive sorte de ter conseguido logar uma vez. Agora, mesmo depois de passwd para alterar a senha, ainda não consigo logar em whm ou root.

O relatório de aviso de falha de senha no seguro continua aparecendo, embora eu simplesmente não tente mais efetuar login.

Finalmente, as coisas funcionam novamente, mas com log estranho

Jan  3 20:21:51 host sshd[1252]: reverse mapping checking getaddrinfo for fm-dyn-139-193-157-62.fast.net.id [139.193.157.62] failed - POSSIBLE BREAK-IN ATTEMPT!
Jan  3 20:21:55 host sshd[1252]: Accepted password for root from 139.193.157.62 port 29144 ssh2
Jan  3 20:21:55 host sshd[1252]: pam_unix(sshd:session): session opened for user root by (uid=0)

O que significa por getaddrinfo não funciona?

    
por user4951 04.01.2013 / 05:19

2 respostas

2

getaddrinfo provavelmente está se referindo a uma verificação que o sshd faz. Quando você tenta ssh em um sistema, ele executa uma pesquisa reversa de DNS em seu endereço IP para ver se ele corresponde a quem você diz ser. Essencialmente, é uma tentativa de impedir o spoofing.

Esses registros parecem com algum tipo de ataque. Não é necessariamente segmentado; as pessoas tentam apenas invadir aleatoriamente sistemas com ferramentas automatizadas. Você nunca deve permitir a senha root logins acima de ssh exatamente por esse motivo. Realmente, PermitRootLogin in sshd_config deve ser definido como no . Se você absolutamente precisa fazer o login em root over ssh (o que quase nunca é o caso; às vezes, você precisa de um programa para controlar seu computador remotamente, mas normalmente não o faz), configure as chaves SSH em seu computador pessoal máquina e coloque a chave pública em /root/.ssh/authorized_keys na máquina remota. Desative os logons raiz da senha alterando PermitRootLogin para without-password em sshd_config . Novamente, no entanto, provavelmente ele deve ser definido como no .

Mais informações sobre esse tipo de ataque: “TENTATIVA RUPTURA POSSÍVEL!” em / var / log / secure - o que isso significa?

    
por 04.01.2013 / 05:43
1

Isso ...

Jan  3 20:21:51 host sshd[1252]: reverse mapping checking getaddrinfo for fm-dyn-139-193-157-62.fast.net.id [139.193.157.62] failed - POSSIBLE BREAK-IN ATTEMPT! 

... parece se referir a isso

Em uma nota lateral, você realmente deve proibir o login root. Se você não tem acesso root ao seu computador, você deve pensar em salvar todos os seus arquivos em um usb ou algo assim e reinstalar sua distro de escolha; é melhor estar no lado seguro e não arriscar.

    
por 04.01.2013 / 05:37

Tags