J'ai une boîte CentOS 5.x fonctionnant sur une plate-forme VPS. Mon hôte VPS a mal interprété une demande d'assistance que j'avais sur la connectivité et a effectivement effacé certaines règles iptables. Cela a entraîné l'écoute ssh sur le port standard et la reconnaissance des tests de connectivité du port. Ennuyeux.
La bonne nouvelle est que j'ai besoin de clés autorisées SSH. Pour autant que je sache, je ne pense pas qu'il y ait eu de violation réussie. Je suis toujours très préoccupé par ce que je vois dans/var/log/secure:
Apr 10 06:39:27 echo sshd[22297]: reverse mapping checking getaddrinfo for 222-237-78-139.tongkni.co.kr failed - POSSIBLE BREAK-IN ATTEMPT!
Apr 10 13:39:27 echo sshd[22298]: Received disconnect from 222.237.78.139: 11: Bye Bye
Apr 10 06:39:31 echo sshd[22324]: Invalid user edu1 from 222.237.78.139
Apr 10 06:39:31 echo sshd[22324]: reverse mapping checking getaddrinfo for 222-237-78-139.tongkni.co.kr failed - POSSIBLE BREAK-IN ATTEMPT!
Apr 10 13:39:31 echo sshd[22330]: input_userauth_request: invalid user edu1
Apr 10 13:39:31 echo sshd[22330]: Received disconnect from 222.237.78.139: 11: Bye Bye
Apr 10 06:39:35 echo sshd[22336]: Invalid user test1 from 222.237.78.139
Apr 10 06:39:35 echo sshd[22336]: reverse mapping checking getaddrinfo for 222-237-78-139.tongkni.co.kr failed - POSSIBLE BREAK-IN ATTEMPT!
Apr 10 13:39:35 echo sshd[22338]: input_userauth_request: invalid user test1
Apr 10 13:39:35 echo sshd[22338]: Received disconnect from 222.237.78.139: 11: Bye Bye
Apr 10 06:39:39 echo sshd[22377]: Invalid user test from 222.237.78.139
Apr 10 06:39:39 echo sshd[22377]: reverse mapping checking getaddrinfo for 222-237-78-139.tongkni.co.kr failed - POSSIBLE BREAK-IN ATTEMPT!
Apr 10 13:39:39 echo sshd[22378]: input_userauth_request: invalid user test
Apr 10 13:39:39 echo sshd[22378]: Received disconnect from 222.237.78.139: 11: Bye Bye
Que signifie exactement "TENTATIVE D'INTERRUPTION POSSIBLE"? Qu'il a réussi? Ou qu'il n'aimait pas l'adresse IP d'où provenait la demande?
Malheureusement, cela est maintenant un phénomène très courant. Il s'agit d'une attaque automatisée contre SSH qui utilise des noms d'utilisateur "communs" pour tenter de s'introduire dans votre système. Le message signifie exactement ce qu'il dit, cela ne signifie pas que vous avez été piraté, juste que quelqu'un a essayé.
La partie "POSSIBLE BREAK-IN ATTEMPT" est spécifiquement liée à la partie "reverse mapping checking getaddrinfo failed". Cela signifie que la personne qui se connectait n'a pas configuré correctement le DNS avant et arrière. Ceci est assez courant, en particulier pour les connexions FAI, d'où provient probablement "l'attaque".
Indépendamment du message "TENTATIVE D'INTERRUPTION POSSIBLE", la personne tente en fait de s'introduire en utilisant des noms d'utilisateur et des mots de passe courants. N'utilisez pas de mots de passe simples pour SSH; en fait, la meilleure idée de désactiver complètement les mots de passe et d'utiliser uniquement les clés SSH.
"Que signifie exactement" TENTATIVE D'INTERRUPTION POSSIBLE "?"
Cela signifie que le propriétaire du netblock n'a pas mis à jour l'enregistrement PTR pour une adresse IP statique dans sa plage et que cet enregistrement PTR est obsolète, [~ # ~] ou [~ # ~] un FAI ne configure pas les enregistrements inverses appropriés pour ses clients IP dynamiques. Ceci est très fréquent, même pour les grands FAI.
Vous finissez par obtenir le msg dans votre journal parce que quelqu'un provenant d'une adresse IP avec des enregistrements PTR incorrects (pour l'une des raisons ci-dessus) essaie d'utiliser des noms d'utilisateur communs pour essayer SSH sur votre serveur (peut-être une attaque par bruteforce, ou peut-être une erreur honnête ).
Pour désactiver ces alertes, vous avez deux choix:
1) Si vous avez une IP statique , ajoutez votre mappage inverse à votre fichier/etc/hosts (voir plus d'informations ici ):
10.10.10.10 server.remotehost.com
2) Si vous avez une IP dynamique et que vous voulez vraiment faire disparaître ces alertes, commentez la "GSSAPIAuthentication yes" dans votre/etc/ssh/Fichier sshd_config.
Vous pouvez rendre vos journaux plus faciles à lire et à vérifier en désactivation des recherches inversées dans sshd_config (UseDNS no). Cela empêchera sshd de consigner les lignes "bruit" contenant "TENTATIVE D'INTERRUPTION POSSIBLE", vous laissant vous concentrer sur les lignes légèrement plus intéressantes contenant "USER utilisateur invalide d'IPADDRESS".
Ce n'est pas nécessaire une connexion réussie, mais ce qu'il dit "posible" et "tentative".
Un bad boy ou un script kiddie vous envoie du trafic spécialement conçu avec une fausse adresse IP d'origine.
Vous pouvez ajouter des limitations IP d'origine à vos clés SSH et essayer quelque chose comme fail2ban.