이 서버가 해킹되었거나 로그인 시도입니까? 로그 참조

누군가 이것이 무엇을 의미하는지 말할 수 있습니까? lastb마지막 사용자 로그인을 보는 것과 같은 명령을 시도했지만 중국에서 이상한 로그인이 발생했습니다 (서버는 EU, EU에 있습니다). 이것이 로그인 시도 또는 성공적인 로그인이 될 수 있는지 궁금합니다.

이들은 매우 오래된 것으로 보이며 일반적으로 포트 22를 내 IP에만 고정합니다. 포트를 잠시 동안 열어 놓았다고 생각합니다. 마지막 로그는 7 월입니다.

root     ssh:notty    222.92.89.xx     Sat Jul  9 12:26 - 12:26  (00:00)
root     ssh:notty    222.92.89.xx     Sat Jul  9 12:04 - 12:04  (00:00)
oracle   ssh:notty    222.92.89.xx     Sat Jul  9 11:43 - 11:43  (00:00)
gary     ssh:notty    222.92.89.xx     Sat Jul  9 11:22 - 11:22  (00:00)
root     ssh:notty    222.92.89.xx     Sat Jul  9 11:01 - 11:01  (00:00)
gt05     ssh:notty    222.92.89.xx     Sat Jul  9 10:40 - 10:40  (00:00)
admin    ssh:notty    222.92.89.xx     Sat Jul  9 10:18 - 10:18  (00:00)

lastb로그인 실패 만 표시 합니다. last성공적인 로그인을 보는 데 사용 합니다.

컨텐츠를 업로드하거나 다운로드하려는 사람들을 보여줍니다. "notty"부분은 tty (텔레 타입의 경우 tty가 짧음)를 의미하지 않습니다. 요즘에는 모니터 나 GUI가 없음을 의미합니다. ssh는 포트 22를 나타내며 scp 또는 rsync와 같은 것을 의미합니다.

따라서 해킹이나 로그인 시도가 아니라 잘못된 암호를 입력하십시오. 일부 콘텐츠는 Google을 통해 위치했을 수 있지만 누군가 추측하려는 비밀번호가 필요했습니다.

사실, 성찰 할 때 위의 내용이 옳지 않습니다. 질문자가 의심 한 것처럼 ssh를 통한 로그인 시도에 실패 할 수 있습니다. (처음으로 그리워했듯이) 규칙적인 21 또는 22 분 간격으로 자동화 수준을 제안하지만 lastb정의에 따라 오류를 표시하므로 이러한 결과를 비교하여 last성공 여부를 확인해야합니다.

포트 22를 닫으십시오. 다른 포트에서 청취하고 denyhost를 설치하고 실행하도록 sshd를 구성하십시오.

왜 마지막을 사용하지 않습니까 ?? '마지막'명령을 사용하고 중국 또는 미국 이외의 국가에서 ips를 찾으십시오.

또한 ... 남자는 당신의 친구 남자 lasttb입니다

Lastb는 기본적으로 / var / log / btmp 파일의 로그를 표시한다는 점을 제외하고 last와 동일합니다. 여기에는 모든 잘못된 로그인 시도가 포함됩니다.

예, 동일한 IP가 여러 사용자 이름을 사용하여 입력을 시도한 것처럼 로그인 시도 인 것으로 보입니다. 무차별 대입 공격 일 가능성이 높습니다.

이 문제를 해결하려면

Fail2Ban을 설치하고 실패한 로그인 시도를 -1로 차단하면 영구적으로 금지됩니다.

SSH를 보호하기 위해 jail 파일을 추가하십시오. Nano 편집기 또는 vi, vim을 사용하여 새 파일 작성

나노 /etc/fail2ban/jail.d/sshd.local

위 파일에 다음 코드 줄을 추가하십시오.

[sshd]

활성화 됨 = true

포트 = ssh

"#"action = firewallcmd-ipset

logpath = % (sshd_log) s

최대 = 5

금지 시간 = -1

RE : Lastb

"ssh : notty"/ var / log / btmp 항목은 "/ etc / ssh / sshd_config"에 지정된 SSH 포트 번호에서 로그인 시도가 실패했음을 나타냅니다.

보안상의 이유로 SSH 포트는 일반적으로 "22"이외의 숫자로 변경되었습니다. 따라서이 문맥에서 "ssh"는 현재 할당 된 (22가 아닌) SSH 포트 번호를 의미합니다.

성공적인 SSH 인증서 핸드 셰이크는 항상 로그인 화면에 도달해야하므로 "ssh : notty"로그 항목은 사용자 자신의 로그인 시도 실패로 인해 발생할 수 있습니다. 일반적으로 잘못 입력 한 사용자 이름에서 왔습니다. 로그 항목과 관련된 IP 주소를 참고하십시오. 아마도 자신의 것일 수도 있습니다!

"notty"는 "tty 없음"을 의미합니다.

Linux 서버를 설정하고 사용하기 전에 기본 보안, 작동 방식, 로그 위치 및 해석 방법, 다양한 구성 파일의 위치 및 지시어의 의미 및 IPTable 구성 방법에 대해 학습하십시오. 로그인을 "고정 IP 주소"로 제한하고 로그인 시도를 제한 / 재 시도하십시오.

로그인을 제한하고 특정 사용자 및 IP 주소의 로그인 만 허용하는 기본 SSH 구성 지시문 :

LoginGraceTime 30
MaxStartups 3:50:10
MaxAuthTries 4
PermitRootLogin no
AllowUsers YourUserName@YourIPAddress
PubkeyAuthentication yes
AuthorizedKeysFile   %h/.ssh/authorized_keys
PasswordAuthentication no

편집 후 SSH 서비스를 "다시 시작"하는 것을 잊지 마십시오.

특정 고정 IP 주소의 SSH 연결 만 허용하는 기본 IP 테이블 규칙 :

*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW                                 -j DROP
-A INPUT -m state --state INVALID -j DROP
-A INPUT -f -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN FIN,SYN -j DROP
-A INPUT -p tcp -m tcp --tcp-flags SYN,RST SYN,RST -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,RST FIN,RST -j DROP
-A INPUT -p tcp -m tcp --tcp-flags PSH,ACK PSH -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,ACK FIN -j DROP
-A INPUT -p tcp -m tcp --tcp-flags ACK,URG URG -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,PSH,ACK,URG -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,PSH,URG -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,PSH,URG -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,ACK,URG -j DROP
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp -s YourStaticIPAddress -m multiport --dports SSHPortNumber -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
-A INPUT -j DROP
-A FORWARD -j DROP
COMMIT

변경 후 IP 테이블을 "복원"하는 것을 잊지 마십시오.

LAN 또는 "호스팅 된"클라우드 환경에서 "개인"측 (네트워크 어댑터)을 보호하는 것을 잊지 마십시오. 적들은 이미 네트워크에 접근 할 수 있으며 뒷문을 통해 들어옵니다.

RackSpace 또는 DigitalOcean과 같은 클라우드 환경에 있고 구성을 손상시키고 스스로 잠그는 경우 항상 콘솔을 통해 고칠 수 있습니다. 항상 편집하기 전에 구성 파일의 사본을 만드십시오 !!!