“可能的闯入企图！” 在 /var/log/secure 中——这是什么意思？

Question

“可能的闯入企图！” 在 /var/log/secure 中——这是什么意思？

我有一个在 VPS 平台上运行的 CentOS 5.x 机器。我的 VPS 主机误解了我对连接的支持查询，并有效地刷新了一些 iptables 规则。这导致 ssh 侦听标准端口并确认端口连接测试。恼人的。

好消息是我需要 SSH 授权密钥。据我所知，我认为没有任何成功的违规行为。我仍然非常关心我在 /var/log/secure 中看到的内容：

Apr 10 06:39:27 echo sshd[22297]: reverse mapping checking getaddrinfo for 222-237-78-139.tongkni.co.kr failed - POSSIBLE BREAK-IN ATTEMPT!
Apr 10 13:39:27 echo sshd[22298]: Received disconnect from 222.237.78.139: 11: Bye Bye
Apr 10 06:39:31 echo sshd[22324]: Invalid user edu1 from 222.237.78.139
Apr 10 06:39:31 echo sshd[22324]: reverse mapping checking getaddrinfo for 222-237-78-139.tongkni.co.kr failed - POSSIBLE BREAK-IN ATTEMPT!
Apr 10 13:39:31 echo sshd[22330]: input_userauth_request: invalid user edu1
Apr 10 13:39:31 echo sshd[22330]: Received disconnect from 222.237.78.139: 11: Bye Bye
Apr 10 06:39:35 echo sshd[22336]: Invalid user test1 from 222.237.78.139
Apr 10 06:39:35 echo sshd[22336]: reverse mapping checking getaddrinfo for 222-237-78-139.tongkni.co.kr failed - POSSIBLE BREAK-IN ATTEMPT!
Apr 10 13:39:35 echo sshd[22338]: input_userauth_request: invalid user test1
Apr 10 13:39:35 echo sshd[22338]: Received disconnect from 222.237.78.139: 11: Bye Bye
Apr 10 06:39:39 echo sshd[22377]: Invalid user test from 222.237.78.139
Apr 10 06:39:39 echo sshd[22377]: reverse mapping checking getaddrinfo for 222-237-78-139.tongkni.co.kr failed - POSSIBLE BREAK-IN ATTEMPT!
Apr 10 13:39:39 echo sshd[22378]: input_userauth_request: invalid user test
Apr 10 13:39:39 echo sshd[22378]: Received disconnect from 222.237.78.139: 11: Bye Bye

Run Code Online (Sandbox Code Playgroud)

“可能的闯入尝试”究竟是什么意思？它成功了吗？或者它不喜欢请求来自的 IP？

Answer 1

use*_*517 86

不幸的是，这在现在非常普遍。这是对 SSH 的自动攻击，它使用“通用”用户名来尝试闯入您的系统。该消息的意思与它所说的完全相同，并不意味着您已被黑客入侵，只是有人尝试过。

“反向映射检查getaddrinfo”更多地是关于源IP/主机名的制作。同样精心设计的流量正在尝试错误的用户名，但错误的用户名不会生成“可能的入侵尝试”消息。 (29认同)
@MikeyB：您可能想考虑将 [fail2ban](http://www.fail2ban.org/wiki/index.php/Main_Page) 添加到您的系统中。这可以配置为自动阻止这些攻击者的 IP 地址。 (11认同)
请注意，“反向映射失败”可能仅表示用户的 ISP 未正确配置反向 DNS，这很常见。请参阅@Gaia 的回答。 (9认同)
这是不准确的，它只是意味着反向 DNS 与客户端发送来标识自己的主机名不匹配。它可能被标记，因为对于使用 `.rhosts` 或 `.shosts` 身份验证的人来说，这可能是尝试的中断（我从未见过使用过）。扫描发生，但这不是此消息的内容（尽管任何连接都可以触发它）（对于扫描，最好查找失败的身份验证/未知用户消息） (2认同)

Answer 2

Chr*_*s S 54

具体而言，“可能的闯入尝试”部分与“反向映射检查 getaddrinfo 失败”部分有关。这意味着连接的人没有正确配置正向和反向 DNS。这很常见，尤其是对于 ISP 连接，这可能是“攻击”的来源。

与“POSSIBLE BREAK-IN ATTEMPT”消息无关，此人实际上是在尝试使用常用用户名和密码闯入。不要对 SSH 使用简单的密码；事实上，最好的办法是完全禁用密码并仅使用 SSH 密钥。

Answer 3

Gai*_*aia 32

““可能的闯入尝试”究竟是什么意思？”

这意味着网络块所有者没有更新其范围内静态 IP 的 PTR 记录，并且所述 PTR 记录已过时，或者ISP 没有为其动态 IP 客户设置正确的反向记录。这很常见，即使对于大型 ISP 也是如此。

您最终会在日志中收到 msg，因为有人来自具有不正确 PTR 记录的 IP（由于上述原因之一）正在尝试使用通用用户名尝试通过 SSH 进入您的服务器（可能是暴力攻击，或者可能是一个诚实的错误））。

要禁用这些警报，您有两种选择：

1)如果您有静态 IP，请将您的反向映射添加到您的 /etc/hosts 文件（请参阅此处的更多信息）：

10.10.10.10 server.remotehost.com

Run Code Online (Sandbox Code Playgroud)

2)如果您有一个动态 IP并且真的想让这些警报消失，请在您的 /etc/ssh/sshd_config 文件中注释掉“GSSAPIAuthentication yes”。

评论 `GSSAPIAuthentication` 对我的情况没有帮助（ (2认同)

Answer 4

Tim*_*imT 17

您可以通过关闭sshd_config 中的反向查找（UseDNS no）使您的日志更易于阅读和检查。这将防止 sshd 记录包含“POSSIBLE BREAK-IN ATTEMPT”的“噪音”行，让您专注于包含“来自 IPADDRESS 的无效用户用户”的稍微更有趣的行。

在连接到公共 Internet 的服务器上禁用 sshd 反向查找有什么缺点？启用此选项有什么好处吗？ (4认同)
@Eddie 我认为 sshd 执行的 DNS 查找没有任何有用的目的。禁用 DNS 查找有两个很好的理由。如果查找超时，DNS 查找会减慢登录速度。并且日志中的“POSSIBLE BREAK-IN ATTEMPT”消息具有误导性。该消息真正意味着客户端的 DNS 配置错误。 (2认同)

Answer 5

poi*_*bit 5

成功登录不是必需的，而是它所说的“可能”和“尝试”。

一些坏男孩或脚本小子正在向您发送带有虚假源 IP 的精心设计的流量。

您可以向 SSH 密钥添加源 IP 限制，并尝试类似 fail2ban 的方法。

谢谢。我将 iptables 设置为仅允许来自选定来源的 ssh 连接。我也安装并运行了fail2ban。 (2认同)

归档时间：	14 年，6 月前
查看次数：	105871 次
最近记录：	5 年，7 月前