/ var / log / secure의“가능한 침입 공격!”— 이것이 무엇을 의미합니까?

96

VPS 플랫폼에서 CentOS 5.x 상자가 실행 중입니다. 내 VPS 호스트는 연결에 대한 지원 문의를 잘못 해석했으며 일부 iptables 규칙을 효과적으로 비 웠습니다. 이로 인해 표준 포트에서 ssh를 청취하고 포트 연결 테스트를 승인했습니다. 성가신.

좋은 소식은 SSH 인증 키가 필요하다는 것입니다. 내가 알 수있는 한, 성공적인 위반이 없다고 생각합니다. 그래도 / var / log / secure에서보고있는 것에 대해 매우 걱정하고 있습니다.

Apr 10 06:39:27 echo sshd[22297]: reverse mapping checking getaddrinfo for 222-237-78-139.tongkni.co.kr failed - POSSIBLE BREAK-IN ATTEMPT!
Apr 10 13:39:27 echo sshd[22298]: Received disconnect from 222.237.78.139: 11: Bye Bye
Apr 10 06:39:31 echo sshd[22324]: Invalid user edu1 from 222.237.78.139
Apr 10 06:39:31 echo sshd[22324]: reverse mapping checking getaddrinfo for 222-237-78-139.tongkni.co.kr failed - POSSIBLE BREAK-IN ATTEMPT!
Apr 10 13:39:31 echo sshd[22330]: input_userauth_request: invalid user edu1
Apr 10 13:39:31 echo sshd[22330]: Received disconnect from 222.237.78.139: 11: Bye Bye
Apr 10 06:39:35 echo sshd[22336]: Invalid user test1 from 222.237.78.139
Apr 10 06:39:35 echo sshd[22336]: reverse mapping checking getaddrinfo for 222-237-78-139.tongkni.co.kr failed - POSSIBLE BREAK-IN ATTEMPT!
Apr 10 13:39:35 echo sshd[22338]: input_userauth_request: invalid user test1
Apr 10 13:39:35 echo sshd[22338]: Received disconnect from 222.237.78.139: 11: Bye Bye
Apr 10 06:39:39 echo sshd[22377]: Invalid user test from 222.237.78.139
Apr 10 06:39:39 echo sshd[22377]: reverse mapping checking getaddrinfo for 222-237-78-139.tongkni.co.kr failed - POSSIBLE BREAK-IN ATTEMPT!
Apr 10 13:39:39 echo sshd[22378]: input_userauth_request: invalid user test
Apr 10 13:39:39 echo sshd[22378]: Received disconnect from 222.237.78.139: 11: Bye Bye

"가능한 침입 공격"이란 정확히 무엇을 의미합니까? 성공 했습니까? 아니면 요청의 IP가 마음에 들지 않습니까?

linux  security  ssh  centos 
마이크 B
소스

답변:

78

불행히도 이것은 현재 매우 흔한 일입니다. '공통'사용자 이름을 사용하여 시스템에 침입하려는 SSH에 대한 자동 공격입니다. 이 메시지는 정확히 말한 것을 의미하며, 당신이 해킹 당했다는 것을 의미하지 않으며 누군가가 시도했다는 것을 의미합니다.

Iain
소스
고마워 Lain. 기분이 좋아집니다. ssh에 대해 승인 된 키가 필요한 것이 정말 기쁩니다. =)
Mike B
28
"readd mapping check getaddrinfo for"는 소스 IP / 호스트 이름에 대한 자세한 내용입니다. 동일한 조작 된 트래픽이 잘못된 사용자 이름을 시도하고 있지만 잘못된 사용자 이름으로 "가능한 침입 가능"메시지가 생성되지 않습니다.
poisonbit
11
@MikeyB : 시스템에 fail2ban 을 추가하는 것이 좋습니다. 이 공격자의 IP 주소를 자동으로 차단하도록 구성 할 수 있습니다.
user9517
9
'역방향 매핑 실패'는 단순히 사용자의 ISP가 역방향 DNS를 올바르게 구성하지 않았 음을 의미합니다. 이는 매우 일반적입니다. @Gaia의 답변을 참조하십시오.
Wilfred Hughes
1
이것은 정확하지 않습니다. 단지 역방향 DNS가 클라이언트가 자신을 식별하기 위해 보낸 호스트 이름과 일치하지 않음을 의미합니다. 그것은 사람들을 사용 .rhosts하거나 .shosts인증 을 시도한 시도 일 수 있기 때문에 플래그가 지정되었을 수 있습니다 (사용 된 것을 본 적이 없습니다). 스캔이 발생하지만이 메시지는 (모든 연결을 실행할 수 있지만) (스캔의 경우, 실패한 인증 / 알 수없는 사용자 메시지가 더 나은 찾기 위해)에 대해 무엇을하지 않습니다
게르트 반 덴 베르그
52

"잠재적 침입 가능성"부분은 "역방향 맵핑 점검 getaddrinfo 실패"부분과 관련이 있습니다. 연결하는 사람이 정방향 및 역방향 DNS를 올바르게 구성하지 않았 음을 의미합니다. 이는 "공격"이 시작된 ISP 연결의 경우 특히 흔합니다.

"가능한 침입 공격"메시지와 관련이없는 사람은 실제로 일반 사용자 이름과 암호를 사용하려고합니다. SSH에 간단한 비밀번호를 사용하지 마십시오. 실제로 비밀번호를 모두 비활성화하고 SSH 키만 사용하는 것이 가장 좋습니다.

크리스 S
소스
1
ISP를 통한 (유효한) 연결로 생성 된 경우 / etc / hosts 파일에 항목을 추가하여이 역 매핑 오류를 제거 할 수 있습니다. 분명히 오류가 양성임을 알고 로그를 정리하려는 경우에만이 작업을 수행합니다.
artfulrobot
32

""가능한 침입 공격 "이란 정확히 무엇을 의미합니까?"

이것은 netblock 소유자가 자신의 범위 내에서 고정 IP의 PTR 레코드를 업데이트하지 않았 음을 의미하며, PTR 레코드 오래된 말했다 OR 은 ISP가 동적 IP 고객을 위해 설치되지 않았 적절한 역 기록을한다. 이는 대형 ISP의 경우에도 매우 일반적입니다.

잘못된 PTR 레코드를 가진 IP에서 온 누군가 (위의 이유 중 하나로 인해) 누군가가 일반적인 사용자 이름을 사용하여 서버에 SSH를 시도하려고 시도하기 때문에 (무차별 한 공격 또는 정직한 실수 일 수 있으므로) 로그에 msg를 얻습니다. ).

이러한 경고를 비활성화하려면 다음 두 가지 중에서 선택할 수 있습니다.

1) 고정 IP가있는 경우 역방향 매핑을 / etc / hosts 파일에 추가하십시오 (자세한 내용은 여기 참조 ).

10.10.10.10 server.remotehost.com

2) 동적 IP 가 있고 이러한 경고를 없애려면 / etc / ssh / sshd_config 파일에서 "GSSAPIAuthentication yes"를 주석 처리하십시오.

가이아
소스
2
주석 달기 GSSAPIAuthentication내 경우에 도움이되지 않습니다 (
SET
UseDNS no(서버가 ... DNS 문제가있을 때 느린 로그인) 아마 더 좋은 설정은 제거하는 것입니다
게르트 반 덴 베르그
15

sshd_config (UseDNS no)에서 역방향 조회를 해제 하여 로그를보다 쉽게 ​​읽고 확인할 수 있습니다 . 이렇게하면 sshd가 "가능한 침입 공격"을 포함하는 "노이즈"라인을 기록하지 못하게되어 "IPADDRESS의 유효하지 않은 사용자 USER"를 포함하는 약간 더 흥미로운 라인에 집중하게됩니다.


소스
4
공용 인터넷에 연결된 서버에서 sshd 역방향 조회를 비활성화하면 어떤 단점이 있습니까? 이 옵션을 활성화 상태로두면 어떤 단점이 있습니까?
Eddie
2
@ Eddie sshd가 수행 한 DNS 조회가 유용한 목적을 제공하지 않는다고 생각합니다. DNS 조회를 비활성화해야하는 두 가지 이유가 있습니다. 조회 시간이 초과되면 DNS 조회로 인해 로그인 속도가 느려질 수 있습니다. 그리고 로그에있는 "가능한 침입 공격"메시지가 잘못되었습니다. 이 메시지는 클라이언트가 DNS를 잘못 구성했음을 의미합니다.
kasperd
1
@OlafM에 동의하지 않습니다.- "UseDNS no"는 sshd에 역 매핑 검사를 수행하지 않도록 지시하므로 "가능한 ATTINPT"가 포함 된 행을 시스템 로그에 추가하지 않습니다. 부작용으로 역방향 DNS를 올바르게 구성하지 않은 것보다 호스트의 연결 시도 속도를 높일 수도 있습니다.
TimT
1
예 @OlafM Linux에서 약 4-5 년 전에 수행했습니다. 그것은 내 로그를 상당히 단축 logcheck시키고 쓸데없는 이메일 보고서로 나를 괴롭히는 것을 중단했습니다 .
TimT
1
주요 용도 UseDNS는 (나쁜 아이디어 사용) .rhosts.shosts인증 ( HostbasedAuthentication)입니다. ( FromSSHD 구성 및 authorized_keys 의 match 옵션) ( HostbasedUsesNameFromPacketOnly호스트 기반 인증에 대한 역방향 조회를 전환하는 데 필요한 별도의 설정이 있지만 Hostsbasedauthentication을 사용하는 것보다 나쁜 생각은 ...)
Gert van den Berg
5

성공적인 로그인이 필요하지 않지만 "가능한"및 "시도"라고 표시된 내용입니다.

일부 나쁜 소년 또는 스크립트 아동이 잘못된 출처 IP로 제작 된 트래픽을 보냅니다.

SSH 키에 오리진 IP 제한을 추가하고 fail2ban과 같은 것을 시도 할 수 있습니다.

독 비트
소스
2
감사. 선택한 소스의 ssh 연결 만 허용하도록 iptables를 설정했습니다. 또한 fail2ban이 설치되어 실행 중입니다.
Mike B
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.