我有一个在VPS平台上运行的CentOS 5.x盒子。 我的VPS主机误解了我对连接的支持询问,并有效地刷新了一些iptables规则。 这导致ssh监听标准端口并确认端口连通性testing。 烦人。
好消息是我需要SSH授权密钥。 据我所知,我认为没有成功的违规行为。 我仍然非常关心我在/ var / log / secure中看到的内容:
Apr 10 06:39:27 echo sshd[22297]: reverse mapping checking getaddrinfo for 222-237-78-139.tongkni.co.kr failed - POSSIBLE BREAK-IN ATTEMPT! Apr 10 13:39:27 echo sshd[22298]: Received disconnect from 222.237.78.139: 11: Bye Bye Apr 10 06:39:31 echo sshd[22324]: Invalid user edu1 from 222.237.78.139 Apr 10 06:39:31 echo sshd[22324]: reverse mapping checking getaddrinfo for 222-237-78-139.tongkni.co.kr failed - POSSIBLE BREAK-IN ATTEMPT! Apr 10 13:39:31 echo sshd[22330]: input_userauth_request: invalid user edu1 Apr 10 13:39:31 echo sshd[22330]: Received disconnect from 222.237.78.139: 11: Bye Bye Apr 10 06:39:35 echo sshd[22336]: Invalid user test1 from 222.237.78.139 Apr 10 06:39:35 echo sshd[22336]: reverse mapping checking getaddrinfo for 222-237-78-139.tongkni.co.kr failed - POSSIBLE BREAK-IN ATTEMPT! Apr 10 13:39:35 echo sshd[22338]: input_userauth_request: invalid user test1 Apr 10 13:39:35 echo sshd[22338]: Received disconnect from 222.237.78.139: 11: Bye Bye Apr 10 06:39:39 echo sshd[22377]: Invalid user test from 222.237.78.139 Apr 10 06:39:39 echo sshd[22377]: reverse mapping checking getaddrinfo for 222-237-78-139.tongkni.co.kr failed - POSSIBLE BREAK-IN ATTEMPT! Apr 10 13:39:39 echo sshd[22378]: input_userauth_request: invalid user test Apr 10 13:39:39 echo sshd[22378]: Received disconnect from 222.237.78.139: 11: Bye Bye
“可能的破门尝试”是什么意思? 那成功了? 或者说它不喜欢来自这个请求的IP?
不幸的是,这在目前是非常普遍的现象。 这是对SSH的自动攻击,它使用“通用”用户名来尝试攻破你的系统。 这个信息的意思正是它所说的,这并不意味着你被黑了,只是有人试图。
“可能的破解尝试”部分具体涉及“反向映射检查getaddrinfo失败”部分。 这意味着连接的人没有正确configuration正向和反向DNS。 这是相当普遍的,特别是对于ISP连接,这是“攻击”可能来自哪里。
与“可能的破门尝试”消息无关,该人员实际上是在尝试使用普通用户名和密码。 不要使用简单的SSH密码; 实际上是完全禁用密码并仅使用SSH密钥的最佳想法。
“究竟是什么”可能的破门而入“是什么意思?
这意味着,networking数据库所有者没有更新其范围内的静态IP的PTRlogging,并且所述PTRlogging已过期, 或者 ISP没有为其dynamicIP客户设置正确的反向logging。 这是非常普遍的,即使对于大型的ISP。
你最终会得到你的日志中的味精,因为有人来自IP与不正确的PTRlogging(由于上述原因之一)试图使用普通的用户名来尝试SSH到您的服务器(可能是暴力攻击,或者一个诚实的错误)。
要禁用这些警报,您有两个select:
1) 如果你有一个静态的IP ,把你的反向映射添加到你的/ etc / hosts文件中(参见这里的更多信息):
10.10.10.10 server.remotehost.com
2) 如果您有一个dynamic的IP,并且确实想让这些警报消失,请在/ etc / ssh / sshd_config文件中注释掉“GSSAPIAuthentication yes”。
通过closures sshd_config(UseDNS no)中的反向查找,可以使日志更容易阅读和检查。 这将防止sshdlogging包含“可能的破坏性尝试”的“噪声”线,让您专注于包含“来自IPADDRESS的无效用户USER”的稍微有趣的行。
没有必要成功login,但它说“可能”和“尝试”。
一些坏男孩或脚本kiddie,正在给你制作一个虚假的来源IPstream量。
您可以将原始IP限制添加到您的SSH密钥,并尝试类似fail2ban的内容。