Questo server è stato violato o solo tentativi di accesso? Vedi registro

13

Qualcuno può dire cosa significa? Ho provato un comando come lastbvedere gli accessi degli ultimi utenti e vedo alcuni strani accessi dalla Cina (il server è UE, io sono nell'UE). Mi chiedevo se questi potessero essere tentativi di accesso o accessi riusciti?

Questi sembrano essere molto vecchi e di solito blocco la porta 22 solo sui miei IP, penso di avere la porta aperta da un po ', l'ultimo registro è a luglio.

root     ssh:notty    222.92.89.xx     Sat Jul  9 12:26 - 12:26  (00:00)
root     ssh:notty    222.92.89.xx     Sat Jul  9 12:04 - 12:04  (00:00)
oracle   ssh:notty    222.92.89.xx     Sat Jul  9 11:43 - 11:43  (00:00)
gary     ssh:notty    222.92.89.xx     Sat Jul  9 11:22 - 11:22  (00:00)
root     ssh:notty    222.92.89.xx     Sat Jul  9 11:01 - 11:01  (00:00)
gt05     ssh:notty    222.92.89.xx     Sat Jul  9 10:40 - 10:40  (00:00)
admin    ssh:notty    222.92.89.xx     Sat Jul  9 10:18 - 10:18  (00:00)
ssh  log-files  login  hacking 
Adriantnt
fonte
1
Vedi questi nomi insieme a quell'IP anche in / var / log / auth?
ott--

Risposte:

16

lastbmostra solo errori di accesso . Utilizzare lastper visualizzare gli accessi riusciti.

Michael Hampton
fonte
6

Mostra le persone che provano a caricare o scaricare contenuti. La parte "notty" non significa tty (dove tty è l'abbreviazione di teletype) che in questi giorni significa nessun monitor o gui, e ssh indica la porta 22, che nel loro insieme significano qualcosa come scp o rsync.

Quindi non tentativi di hacking o di accesso, ma password errate o errate. È possibile che alcuni contenuti siano stati individuati tramite Google, ma richiedessero una password che qualcuno ha tentato di indovinare.

In realtà, riflettendo, quanto sopra non è giusto. Potrebbero essere falliti i tentativi di accesso tramite ssh, come sospettava l'interrogante; e (come ho perso la prima volta) sono ad intervalli regolari di 21 o 22 minuti, il che suggerisce un grado di automazione, ma lastbmostra guasti per definizione, quindi questi risultati dovrebbero essere confrontati lastper vedere se ce ne sono stati.

ramruma
fonte
3

Chiudi la porta 22. Configura il tuo sshd per l'ascolto su un'altra porta, e installa ed esegui denyhosts.

tzakuk
fonte
2

Perché non usare l' ultimo ?? Si prega di utilizzare il comando 'last' e cercare ips dalla Cina o fuori dagli Stati Uniti.

Inoltre ... man is your friend man lasttb

Lastb è uguale all'ultimo, tranne che per impostazione predefinita mostra un registro del file / var / log / btmp, che contiene tutti i tentativi di accesso errati.

3.14
fonte
1

Sì, quelli sembrano essere tentativi di accesso in quanto lo stesso IP ha utilizzato più nomi utente per tentare di accedere. Molto probabilmente un attacco di forza bruta.

Per risolvere questo:

Installa Fail2Ban e blocca i tentativi di accesso falliti con -1, questo rende permanente il loro ban.

Aggiungi un file jail per proteggere SSH. Crea un nuovo file con l'editor Nano o vi, vim

nano /etc/fail2ban/jail.d/sshd.local

Al file sopra, aggiungi le seguenti righe di codice.

[Sshd]

abilitato = vero

port = ssh

"#" action = firewallcmd-ipset

logpath =% (sshd_log) s

maxretry = 5

bantime = -1

Greygan
fonte
0

RE: lastb

Le voci "ssh: notty" / var / log / btmp indicano tentativi di accesso non riusciti dal numero di porta SSH assegnato in "/ etc / ssh / sshd_config".

Per motivi di sicurezza, la porta SSH è stata in genere cambiata con un numero diverso da "22". Quindi, "ssh", in questo contesto, significa semplicemente il numero di porta SSH attualmente assegnato (non 22).

Poiché una stretta di mano con certificato SSH corretta DOVREBBE essere sempre richiesta per raggiungere la schermata di accesso, è probabile che qualsiasi voce di registro "ssh: notty" derivi da tentativi di accesso falliti; di solito da un nome utente errato. Nota l'indirizzo IP associato alla voce di registro ... è probabilmente il tuo!

"notty" significa "no tty".

Impara la sicurezza di base, come funziona, dove sono i log e come interpretarli, dove sono i vari file di configurazione e cosa significano le direttive e come configurare le IPTables, prima di configurare e utilizzare un server Linux. Limitare gli accessi a un "indirizzo IP statico" e limitare / limitare i tentativi di accesso:

Direttive di configurazione SSH BASIC che limitano gli accessi e consentono accessi solo da determinati utenti e indirizzi IP:

LoginGraceTime 30
MaxStartups 3:50:10
MaxAuthTries 4
PermitRootLogin no
AllowUsers YourUserName@YourIPAddress
PubkeyAuthentication yes
AuthorizedKeysFile   %h/.ssh/authorized_keys
PasswordAuthentication no

Non dimenticare di "riavviare" il servizio SSH dopo la modifica.

Regole BASIC IPTables che consentono connessioni SSH solo da un determinato indirizzo IP statico:

*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW                                 -j DROP
-A INPUT -m state --state INVALID -j DROP
-A INPUT -f -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN FIN,SYN -j DROP
-A INPUT -p tcp -m tcp --tcp-flags SYN,RST SYN,RST -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,RST FIN,RST -j DROP
-A INPUT -p tcp -m tcp --tcp-flags PSH,ACK PSH -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,ACK FIN -j DROP
-A INPUT -p tcp -m tcp --tcp-flags ACK,URG URG -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,PSH,ACK,URG -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,PSH,URG -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,PSH,URG -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,ACK,URG -j DROP
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp -s YourStaticIPAddress -m multiport --dports SSHPortNumber -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
-A INPUT -j DROP
-A FORWARD -j DROP
COMMIT

Non dimenticare di "ripristinare" le tabelle IP dopo le modifiche.

Su una LAN o in un ambiente cloud "ospitato", non dimenticare di proteggere il lato "privato" (adattatore di rete). I tuoi nemici spesso hanno già accesso alla tua rete ed entrano dalla porta sul retro.

Se ci si trova in un ambiente cloud come RackSpace o DigitalOcean e si confondono le configurazioni e si blocca, è sempre possibile accedere alla console e risolverlo. FARE SEMPRE COPIE DI FILE DI CONFIGURAZIONE PRIMA DI MODIFICARLI !!!

SandPond
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.