Pregunta “¡POSIBLE INTENTO DE INCIDENCIA!” En / var / log / secure - ¿qué significa esto?


Tengo una caja CentOS 5.x corriendo en una plataforma VPS. Mi host de VPS malinterpretó una consulta de soporte que tenía acerca de la conectividad y eliminó algunas reglas de iptables. Esto dio lugar a que ssh escuchara en el puerto estándar y reconociera las pruebas de conectividad del puerto. Molesto.

La buena noticia es que necesito llaves autorizadas por SSH. Por lo que puedo decir, no creo que haya ninguna violación exitosa. Todavía estoy muy preocupado por lo que estoy viendo en / var / log / secure:


Apr 10 06:39:27 echo sshd[22297]: reverse mapping checking getaddrinfo for 222-237-78-139.tongkni.co.kr failed - POSSIBLE BREAK-IN ATTEMPT!
Apr 10 13:39:27 echo sshd[22298]: Received disconnect from 222.237.78.139: 11: Bye Bye
Apr 10 06:39:31 echo sshd[22324]: Invalid user edu1 from 222.237.78.139
Apr 10 06:39:31 echo sshd[22324]: reverse mapping checking getaddrinfo for 222-237-78-139.tongkni.co.kr failed - POSSIBLE BREAK-IN ATTEMPT!
Apr 10 13:39:31 echo sshd[22330]: input_userauth_request: invalid user edu1
Apr 10 13:39:31 echo sshd[22330]: Received disconnect from 222.237.78.139: 11: Bye Bye
Apr 10 06:39:35 echo sshd[22336]: Invalid user test1 from 222.237.78.139
Apr 10 06:39:35 echo sshd[22336]: reverse mapping checking getaddrinfo for 222-237-78-139.tongkni.co.kr failed - POSSIBLE BREAK-IN ATTEMPT!
Apr 10 13:39:35 echo sshd[22338]: input_userauth_request: invalid user test1
Apr 10 13:39:35 echo sshd[22338]: Received disconnect from 222.237.78.139: 11: Bye Bye
Apr 10 06:39:39 echo sshd[22377]: Invalid user test from 222.237.78.139
Apr 10 06:39:39 echo sshd[22377]: reverse mapping checking getaddrinfo for 222-237-78-139.tongkni.co.kr failed - POSSIBLE BREAK-IN ATTEMPT!
Apr 10 13:39:39 echo sshd[22378]: input_userauth_request: invalid user test
Apr 10 13:39:39 echo sshd[22378]: Received disconnect from 222.237.78.139: 11: Bye Bye

¿Qué significa exactamente "POSIBLE INTRODUCIR UN INTENTO"? ¿Que fue exitoso? ¿O que no le gustó la IP de la que venía la solicitud?


86
2018-04-17 18:17


origen




Respuestas:


Lamentablemente esto es ahora una ocurrencia muy común. Es un ataque automático a SSH que utiliza nombres de usuario 'comunes' para intentar ingresar a su sistema. El mensaje significa exactamente lo que dice, no significa que haya sido hackeado, solo que alguien lo intentó.


75
2018-04-17 22:06



Gracias Lain. Eso me hace sentir mejor. Estoy realmente contento de que necesito llaves autorizadas para ssh. =) - Mike B
La "comprobación de asignación inversa getaddrinfo para" es más sobre la IP de origen / nombre de host creado. El mismo tráfico creado está intentando los nombres de usuario incorrectos, pero los nombres de usuario incorrectos no generan el mensaje "POSIBLE INTRODUCIR INGRESO". - poisonbit
@MikeyB: Es posible que desee ver agregar fail2ban a tu sistema Esto se puede configurar para bloquear las direcciones IP de estos atacantes automáticamente. - Iain
@poisonbit: Tu derecho significa que hay una búsqueda inversa que luego no se resuelve en un registro A, pero en la ronda todo es parte del mismo ataque automatizado. - Iain
Tenga en cuenta que "la asignación inversa ha fallado" puede significar simplemente que el ISP del usuario no ha configurado el DNS inverso correctamente, lo cual es bastante común. Ver la respuesta de @Gaia. - Wilfred Hughes


La parte "POSIBLE INTRODUCIR UN TIPO DE INCIDENCIA" específicamente, se relaciona con la parte "la comprobación de la asignación inversa falló getaddrinfo". Significa que la persona que se estaba conectando no tenía el DNS directo e inverso configurado correctamente. Esto es bastante común, especialmente para las conexiones ISP, que es de donde probablemente provino el "ataque".

Sin relación con el mensaje "POSIBLE INTRODUCIR UN TEMA", la persona realmente intenta ingresar con nombres de usuario y contraseñas comunes. No utilice contraseñas simples para SSH; de hecho, la mejor idea es deshabilitar las contraseñas y usar solo las claves SSH.


49
2017-10-23 20:16



Si es generado por una conexión (válida) a través de un ISP, puede agregar una entrada a su archivo / etc / hosts para deshacerse de este error de mapeo inverso. Obviamente, solo haría esto si supiera que el error es benigno y desea limpiar sus registros. - artfulrobot


"¿Qué significa exactamente" POSIBLE INTRODUCIR UN INTENTO "?"

Esto significa que el propietario del bloque de red no actualizó el registro PTR para una IP estática dentro de su rango, y dicho registro PTR está desactualizado. O un ISP no configura registros inversos adecuados para sus clientes de IP dinámica. Esto es muy común, incluso para los grandes ISP.

Usted termina obteniendo el msg en su registro porque alguien que proviene de una IP con registros PTR incorrectos (debido a una de las razones anteriores) está tratando de usar nombres de usuario comunes para probar SSH en su servidor (posiblemente un ataque de fuerza bruta o un error honesto ).

Para deshabilitar estas alertas, tienes dos opciones:

1) Si tienes una IP estática, agregue su asignación inversa a su archivo / etc / hosts (ver más información aquí):

10.10.10.10 server.remotehost.com

2) Si tienes una IP dinámica y realmente desea hacer que esas alertas desaparezcan, comente la "Autenticación GSSAPIA sí" en su archivo / etc / ssh / sshd_config.


30
2018-01-12 10:33



comentando GSSAPIAuthentication no ayuda en mi caso - SET


Puede hacer que sus registros sean más fáciles de leer y revisar apagando lookp-ups inversos en sshd_config (UseDNS no). Esto evitará que sshd registre las líneas de "ruido" que contienen "POSIBLE INTENTO DE INGRESO", lo que le permitirá concentrarse en las líneas ligeramente más interesantes que contienen "USUARIO de usuario no válido desde IPADDRESS".


13
2018-04-17 18:23



¿Cuál es el inconveniente de deshabilitar las búsquedas inversas de sshd en un servidor conectado a la Internet pública? ¿Hay alguna ventaja en absoluto para dejar esta opción habilitada? - Eddie
@ Eddie No creo que las búsquedas de DNS realizadas por sshd tengan algún propósito útil. Hay dos buenas razones para deshabilitar las búsquedas de DNS. Las búsquedas de DNS pueden ralentizar el inicio de sesión si las búsquedas caducan. Y los mensajes de "POSIBLE INCUMPLIMIENTO DE INTENTO" en el registro son engañosos. Todo lo que realmente significa ese mensaje es que el cliente tiene un DNS mal configurado. - kasperd
@kasperd UseDNS es necesario, si uno necesita / quiere usar nombres de host en el from= directiva en authorized_keys archivos. - gf_
No estoy de acuerdo con @OlafM - "UseDNS no" le dice a sshd que no realice la verificación de la asignación inversa y, por lo tanto, no agregará ninguna línea que contenga "POSIBLE DESEMBOLSO" en los registros del sistema. Como efecto secundario, también puede acelerar los intentos de conexión de los hosts que no tienen el DNS inverso configurado correctamente. - TimT
Sí, lo hice @OlafM, hace unos 4-5 años en Linux. Acortó considerablemente mis registros y paré. logcheck molestándome con informes de correo electrónico sin valor. - TimT


No es necesario un inicio de sesión exitoso, pero lo que dice "posible" y "intento".

Un chico malo o un script para niños, te está enviando tráfico diseñado con una IP de origen falso.

Puede agregar limitaciones de IP de origen a sus claves SSH e intentar algo como fail2ban.


5



Gracias. Tengo iptables configurado para permitir solo la conectividad ssh de fuentes seleccionadas. También tengo fail2ban instalado y en ejecución. - Mike B