我知道在哪里可以找到日志,但我并不总是确定它们的含义。而且我无法完全找到有关 sshd 日志的综合指南来解释它们的含义。
我特别关注这组日志尝试:
Feb 03 01:08:47 malan-server sshd[8110]: Invalid user centos from 193.106.58.90 port 34574
Feb 03 01:08:47 malan-server sshd[8110]: pam_tally(sshd:auth): pam_get_uid; no such user
Feb 03 01:08:47 malan-server sshd[8110]: pam_unix(sshd:auth): check pass; user unknown
Feb 03 01:08:47 malan-server sshd[8110]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=193.106.58.90
Feb 03 01:08:48 malan-server sshd[8110]: Failed password for invalid user centos from 193.106.58.90 port 34574 ssh2
Feb 03 01:08:49 malan-server sshd[8110]: Connection closed by invalid user centos 193.106.58.90 port 34574 [preauth]
Feb 03 01:14:30 malan-server sshd[8114]: Invalid user centos from 193.106.58.90 port 39249
Feb 03 01:14:30 malan-server sshd[8114]: pam_tally(sshd:auth): pam_get_uid; no such user
Feb 03 01:14:30 malan-server sshd[8114]: pam_unix(sshd:auth): check pass; user unknown
Feb 03 01:14:30 malan-server sshd[8114]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=193.106.58.90
Feb 03 01:14:32 malan-server sshd[8114]: Failed password for invalid user centos from 193.106.58.90 port 39249 ssh2
Feb 03 01:14:34 malan-server sshd[8114]: Connection closed by invalid user centos 193.106.58.90 port 39249 [preauth]
Feb 03 01:20:18 malan-server sshd[8118]: Invalid user centos from 193.106.58.90 port 43934
Feb 03 01:20:18 malan-server sshd[8118]: pam_tally(sshd:auth): pam_get_uid; no such user
Feb 03 01:20:18 malan-server sshd[8118]: pam_unix(sshd:auth): check pass; user unknown
Feb 03 01:20:18 malan-server sshd[8118]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=193.106.58.90
Feb 03 01:20:20 malan-server sshd[8118]: Failed password for invalid user centos from 193.106.58.90 port 43934 ssh2
Feb 03 01:20:22 malan-server sshd[8118]: Connection closed by invalid user centos 193.106.58.90 port 43934 [preauth]
Feb 03 01:26:06 malan-server sshd[8121]: Invalid user centos from 193.106.58.90 port 48611
Feb 03 01:26:06 malan-server sshd[8121]: pam_tally(sshd:auth): pam_get_uid; no such user
Feb 03 01:26:06 malan-server sshd[8121]: pam_unix(sshd:auth): check pass; user unknown
Feb 03 01:26:06 malan-server sshd[8121]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=193.106.58.90
Feb 03 01:26:08 malan-server sshd[8121]: Failed password for invalid user centos from 193.106.58.90 port 48611 ssh2
Feb 03 01:26:08 malan-server sshd[8121]: Connection closed by invalid user centos 193.106.58.90 port 48611 [preauth]
那天有很多来自193.106.58.90乌克兰基辅的同一个 IP 地址。
另一组看起来很可怕的日志是这些:
Feb 04 19:58:29 malan-server sshd[9725]: Bad protocol version identification 'RFB 003.003' from 142.44.253.51 port 36772
Feb 04 23:47:52 malan-server sshd[9762]: Bad protocol version identification 'REMOTE HI_SRDK_DEV_GetHddInfo MCTP/1.0' from 162.207.145.58 port 48248
Feb 05 06:40:36 malan-server sshd[9836]: Bad protocol version identification 'REMOTE HI_SRDK_DEV_GetHddInfo MCTP/1.0' from 186.4.174.94 port 34515
Feb 05 07:59:13 malan-server sshd[9850]: Bad protocol version identification 'GET / HTTP/1.1' from 209.17.97.34 port 43944
Feb 05 09:09:48 malan-server sshd[9863]: Bad protocol version identification 'REMOTE HI_SRDK_DEV_GetHddInfo MCTP/1.0' from 98.150.93.187 port 60182
Feb 05 14:09:45 malan-server sshd[9911]: Did not receive identification string from 191.232.54.97 port 63982
Feb 05 14:09:45 malan-server sshd[9912]: Bad protocol version identification '\003' from 191.232.54.97 port 64044
Feb 05 14:09:45 malan-server sshd[9913]: Bad protocol version identification '\003' from 191.232.54.97 port 64136
Feb 05 14:33:37 malan-server sshd[9919]: Bad protocol version identification '' from 198.108.67.48 port 56086
这些是什么意思?
我知道互联网是一个大坏蛋可怕的地方,面向公众的 IP 地址不断受到机器人攻击的轰炸。但是我的路由器配置为将端口 9000 上的连接转发到我服务器的端口 22,所以我不完全确定仍然存在机器人攻击。在我看来,他们不太可能对所有 65,535 个可能的端口进行端口扫描。
我会写一个问题清单:
[preauth]意思?Bad protocol version identification 'REMOTE HI_SRDK_DEV_GetHddInfo MCTP/1.0' from 162.207.145.58 port 48248意思?没有好的端口可以使用,只有好的 SSH 配置。如果您禁用基于密码的登录并只允许基于密钥的身份验证,那么您不会因这种蛮力尝试而冒太大风险。您可以添加端口敲门,但这是默默无闻的安全性。
日志右侧列出的端口号为源端口;这些是动态分配的,并且位于源系统上,而不是目标系统上。
[preauth]意味着记录的事件发生在连接被认证之前——即在这种情况下,连接在被认证之前关闭。
第二组日志中的所有日志都对应于发送到守护程序的非 SSH 流量。您会经常看到这种情况发生,特别是因为您正在侦听非标准端口——各种扫描器将发送请求而不知道另一端正在侦听什么。
如果您有连接良好的系统要扫描,或者僵尸网络中有大量受感染的主机,则扫描各种端口上的大部分 Internet 不会花费很长时间。有关massscan质量扫描工具的示例,请参见。还有一些已知开放的 IP 地址和端口列表,这些列表正在流通;所以只需扫描一次即可找到您的开放端口 9000。
缺少 sshd 日志的综合指南,但解决了您的问题:
我是不是刚刚选择了一个太容易猜到的端口?什么是更好的端口号?
“只有” 65,535 个端口,扫描器很擅长找到它们,所以一旦你超越了端口 22 以避免最简单的扫描,选择一个任意端口而不是另一个端口并没有太多好处。
这些 sshd 日志中的端口号是什么意思?如果我的路由器仅配置为将端口 9000 转发到端口 22,他们如何访问端口 (43944)?一世
IP 后面的端口号,例如209.17.97.34 port 43944表示源端的端口,这可能是该端内核任意选择的。这对你来说几乎没有任何意义。
[preauth] 是什么意思?
它是“pre (before) authentication”的缩写;ssh 分阶段执行,这就是其中之一。U&L还有其他类似的问题。
来自 162.207.145.58 端口 48248 的错误协议版本标识“REMOTE HI_SRDK_DEV_GetHddInfo MCTP/1.0”是什么意思?
一个快速的谷歌搜索在 Stack Overflow 的服务器日志 REMOTE HI_SRDK_DEV_GetHddInfo中发现了这个 奇怪的查询 ——强化了这是一个寻找“机会”的扫描仪的想法。