108 votes

Mike B avatar

"POSSIBLE BREAK-IN ATTEMPT !" dans /var/log/secure - qu'est-ce que cela signifie ?

Demandé el 17 de Avril, 2011
Quand la question a-t-elle été
109220 affichage
Nombre de visites la question a
5 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

J'ai une boîte CentOS 5.x fonctionnant sur une plateforme VPS. Mon hôte VPS a mal interprété une demande d'assistance que j'ai eue au sujet de la connectivité et a effectivement purgé certaines règles iptables. Cela a entraîné l'écoute de ssh sur le port standard et la reconnaissance des tests de connectivité du port. C'est ennuyeux.

La bonne nouvelle est que j'ai besoin de clés autorisées SSH. Pour autant que je puisse dire, je ne pense pas qu'il y ait eu une violation réussie. Je suis toujours très préoccupé par ce que je vois dans /var/log/secure cependant :

Apr 10 06:39:27 echo sshd[22297]: reverse mapping checking getaddrinfo for 222-237-78-139.tongkni.co.kr failed - POSSIBLE BREAK-IN ATTEMPT!
Apr 10 13:39:27 echo sshd[22298]: Received disconnect from 222.237.78.139: 11: Bye Bye
Apr 10 06:39:31 echo sshd[22324]: Invalid user edu1 from 222.237.78.139
Apr 10 06:39:31 echo sshd[22324]: reverse mapping checking getaddrinfo for 222-237-78-139.tongkni.co.kr failed - POSSIBLE BREAK-IN ATTEMPT!
Apr 10 13:39:31 echo sshd[22330]: input_userauth_request: invalid user edu1
Apr 10 13:39:31 echo sshd[22330]: Received disconnect from 222.237.78.139: 11: Bye Bye
Apr 10 06:39:35 echo sshd[22336]: Invalid user test1 from 222.237.78.139
Apr 10 06:39:35 echo sshd[22336]: reverse mapping checking getaddrinfo for 222-237-78-139.tongkni.co.kr failed - POSSIBLE BREAK-IN ATTEMPT!
Apr 10 13:39:35 echo sshd[22338]: input_userauth_request: invalid user test1
Apr 10 13:39:35 echo sshd[22338]: Received disconnect from 222.237.78.139: 11: Bye Bye
Apr 10 06:39:39 echo sshd[22377]: Invalid user test from 222.237.78.139
Apr 10 06:39:39 echo sshd[22377]: reverse mapping checking getaddrinfo for 222-237-78-139.tongkni.co.kr failed - POSSIBLE BREAK-IN ATTEMPT!
Apr 10 13:39:39 echo sshd[22378]: input_userauth_request: invalid user test
Apr 10 13:39:39 echo sshd[22378]: Received disconnect from 222.237.78.139: 11: Bye Bye

Que signifie exactement "Tentative d'effraction possible" ? Qu'il a réussi ? Ou qu'il n'a pas aimé l'adresse IP d'où provenait la demande ?

Demandé el 17 de Avril, 2011 par Mike B

Réponses

Trop de publicités?

90voto

user9517 avatar
user9517 Points 113163

Malheureusement, cette situation est désormais très courante. Il s'agit d'une attaque automatisée sur SSH qui utilise des noms d'utilisateur "communs" pour tenter de s'introduire dans votre système. Le message signifie exactement ce qu'il dit, il ne signifie pas que vous avez été piraté, mais simplement que quelqu'un a essayé.

Répondu el 17 de Avril, 2011 par user9517 (113163 Points )

55voto

frameworkninja avatar
frameworkninja Points 628

La partie "POSSIBLE BREAK-IN ATTEMPT" est liée à la partie "reverse mapping checking getaddrinfo failed". Cela signifie que la personne qui s'est connectée n'avait pas configuré correctement le forward et le reverse DNS. C'est assez courant, surtout pour les connexions ISP, d'où provenait probablement l'"attaque".

Sans rapport avec le message "POSSIBLE BREAK-IN ATTEMPT", la personne essaie en fait de s'introduire en utilisant des noms d'utilisateur et des mots de passe courants. N'utilisez pas de mots de passe simples pour SSH ; en fait, la meilleure idée est de désactiver complètement les mots de passe et d'utiliser uniquement des clés SSH.

Répondu el 18 de Avril, 2011 par frameworkninja (628 Points )

35voto

Gaia avatar
Gaia Points 1687

"Que signifie exactement "Tentative d'effraction possible" ?"

Cela signifie que le propriétaire du bloc réseau n'a pas mis à jour l'enregistrement PTR pour une IP statique dans sa gamme, et que ledit enregistrement PTR est périmé, OU un FAI ne configure pas les enregistrements inversés appropriés pour ses clients à IP dynamique. C'est très courant, même pour les grands FAI.

Vous obtenez le message dans votre journal parce que quelqu'un venant d'une IP avec des enregistrements PTR incorrects (pour l'une des raisons ci-dessus) essaie d'utiliser des noms d'utilisateur communs pour essayer de se connecter à votre serveur (peut-être une attaque par force brute, ou peut-être une erreur honnête).

Pour désactiver ces alertes, vous avez deux possibilités :

1) Si vous avez une IP statique ajoutez votre mappage inverse à votre fichier /etc/hosts (voir plus d'informations). aquí ):

10.10.10.10 server.remotehost.com

2) Si vous avez une IP dynamique et que vous voulez vraiment faire disparaître ces alertes, commentez le "GSSAPIAuthentication yes" dans votre fichier /etc/ssh/sshd_config.

Répondu el 23 de Octobre, 2012 par Gaia (1687 Points )

18voto

Cameron avatar
Cameron Points 32208

Vous pouvez faciliter la lecture et la vérification de vos journaux en désac désac désactiver la recherche inverse dans sshd_config (UseDNS no). Cela empêchera sshd d'enregistrer les lignes de "bruit" contenant "POSSIBLE BREAK-IN ATTEMPT", vous laissant vous concentrer sur les lignes légèrement plus intéressantes contenant "Invalid user USER from IPADDRESS".

Répondu el 12 de Janvier, 2013 par Cameron (32208 Points )

6voto

poisonbit avatar
poisonbit Points 797

Il n'est pas nécessaire que la connexion soit réussie, mais ce qui est dit est "possible" et "tentative".

Un mauvais garçon ou un script, vous envoie du trafic modifié avec une fausse IP d'origine.

Vous pouvez ajouter des limitations d'IP d'origine à vos clés SSH, et essayer quelque chose comme fail2ban.

Répondu el 17 de Avril, 2011 par poisonbit (797 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X