108 votes

Mike B avatar

"POSSIBLE BREAK-IN ATTEMPT !" dans /var/log/secure - qu'est-ce que cela signifie ?

Demandé el 17 de Avril, 2011
Quand la question a-t-elle été
109221 affichage
Nombre de visites la question a
1 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

J'ai une boîte CentOS 5.x fonctionnant sur une plateforme VPS. Mon hôte VPS a mal interprété une demande d'assistance que j'ai eue au sujet de la connectivité et a effectivement purgé certaines règles iptables. Cela a entraîné l'écoute de ssh sur le port standard et la reconnaissance des tests de connectivité du port. C'est ennuyeux.

La bonne nouvelle est que j'ai besoin de clés autorisées SSH. Pour autant que je puisse dire, je ne pense pas qu'il y ait eu une violation réussie. Je suis toujours très préoccupé par ce que je vois dans /var/log/secure cependant :

Apr 10 06:39:27 echo sshd[22297]: reverse mapping checking getaddrinfo for 222-237-78-139.tongkni.co.kr failed - POSSIBLE BREAK-IN ATTEMPT!
Apr 10 13:39:27 echo sshd[22298]: Received disconnect from 222.237.78.139: 11: Bye Bye
Apr 10 06:39:31 echo sshd[22324]: Invalid user edu1 from 222.237.78.139
Apr 10 06:39:31 echo sshd[22324]: reverse mapping checking getaddrinfo for 222-237-78-139.tongkni.co.kr failed - POSSIBLE BREAK-IN ATTEMPT!
Apr 10 13:39:31 echo sshd[22330]: input_userauth_request: invalid user edu1
Apr 10 13:39:31 echo sshd[22330]: Received disconnect from 222.237.78.139: 11: Bye Bye
Apr 10 06:39:35 echo sshd[22336]: Invalid user test1 from 222.237.78.139
Apr 10 06:39:35 echo sshd[22336]: reverse mapping checking getaddrinfo for 222-237-78-139.tongkni.co.kr failed - POSSIBLE BREAK-IN ATTEMPT!
Apr 10 13:39:35 echo sshd[22338]: input_userauth_request: invalid user test1
Apr 10 13:39:35 echo sshd[22338]: Received disconnect from 222.237.78.139: 11: Bye Bye
Apr 10 06:39:39 echo sshd[22377]: Invalid user test from 222.237.78.139
Apr 10 06:39:39 echo sshd[22377]: reverse mapping checking getaddrinfo for 222-237-78-139.tongkni.co.kr failed - POSSIBLE BREAK-IN ATTEMPT!
Apr 10 13:39:39 echo sshd[22378]: input_userauth_request: invalid user test
Apr 10 13:39:39 echo sshd[22378]: Received disconnect from 222.237.78.139: 11: Bye Bye

Que signifie exactement "Tentative d'effraction possible" ? Qu'il a réussi ? Ou qu'il n'a pas aimé l'adresse IP d'où provenait la demande ?

Demandé el 17 de Avril, 2011 par Mike B

Réponse

Trop de publicités?

0voto

AnasSafi avatar
AnasSafi Points 146

Dans mon cas, après avoir souffert pendant trois semaines de la déconnexion des systèmes et de l'interruption des connexions ssh toutes les minutes, j'ai découvert que mon réseau était passé en IPv6 lorsque j'ai essayé d'obtenir mon IP, alors j'ai essayé de désactiver IPv6 et de redémarrer le réseau, mais cela n'a pas résolu mon problème.

Note : dans chaque hang de ssh, j'ai trouvé ce problème enregistré :

reverse mapping checking getaddrinfo for x.x.x.x.xx.com.xx [xx.xx.xx.xx] failed - POSSIBLE BREAK-IN ATTEMPT!

Je pense donc qu'une partie de cette erreur provient de votre fournisseur de connexion, lorsque votre IP change continuellement, ssh will keep freezing and this error will occurs J'ai changé de fournisseur d'accès à Internet et le problème a été résolu...

Répondu el 23 de Octobre, 2021 par AnasSafi (146 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X