Linux

“可能的闖入嘗試!”在 /var/log/secure — 這是什麼意思?

  • October 23, 2021

我有一個在 VPS 平台上執行的 CentOS 5.x 機器。我的 VPS 主機誤解了我關於連接的支持查詢,並有效地刷新了一些 iptables 規則。這導致 ssh 監聽標準埠並確認埠連接測試。惱人的。

好消息是我需要 SSH 授權密鑰。據我所知,我不認為有任何成功的違規行為。我仍然非常擔心我在 /var/log/secure 中看到的內容:


Apr 10 06:39:27 echo sshd[22297]: reverse mapping checking getaddrinfo for 222-237-78-139.tongkni.co.kr failed - POSSIBLE BREAK-IN ATTEMPT!
Apr 10 13:39:27 echo sshd[22298]: Received disconnect from 222.237.78.139: 11: Bye Bye
Apr 10 06:39:31 echo sshd[22324]: Invalid user edu1 from 222.237.78.139
Apr 10 06:39:31 echo sshd[22324]: reverse mapping checking getaddrinfo for 222-237-78-139.tongkni.co.kr failed - POSSIBLE BREAK-IN ATTEMPT!
Apr 10 13:39:31 echo sshd[22330]: input_userauth_request: invalid user edu1
Apr 10 13:39:31 echo sshd[22330]: Received disconnect from 222.237.78.139: 11: Bye Bye
Apr 10 06:39:35 echo sshd[22336]: Invalid user test1 from 222.237.78.139
Apr 10 06:39:35 echo sshd[22336]: reverse mapping checking getaddrinfo for 222-237-78-139.tongkni.co.kr failed - POSSIBLE BREAK-IN ATTEMPT!
Apr 10 13:39:35 echo sshd[22338]: input_userauth_request: invalid user test1
Apr 10 13:39:35 echo sshd[22338]: Received disconnect from 222.237.78.139: 11: Bye Bye
Apr 10 06:39:39 echo sshd[22377]: Invalid user test from 222.237.78.139
Apr 10 06:39:39 echo sshd[22377]: reverse mapping checking getaddrinfo for 222-237-78-139.tongkni.co.kr failed - POSSIBLE BREAK-IN ATTEMPT!
Apr 10 13:39:39 echo sshd[22378]: input_userauth_request: invalid user test
Apr 10 13:39:39 echo sshd[22378]: Received disconnect from 222.237.78.139: 11: Bye Bye

“可能的闖入嘗試”究竟是什麼意思?那它成功了嗎?或者它不喜歡請求來自的 IP?

不幸的是,這在現在非常普遍。這是對 SSH 的自動攻擊,它使用“通用”使用者名來嘗試侵入您的系統。該消息的含義與它所說的完全相同,並不意味著您已被黑客入侵,而只是有人嘗試過。

具體來說,“可能的闖入嘗試”部分與“反向映射檢查 getaddrinfo 失敗”部分有關。這意味著正在連接的人沒有正確配置正向和反向 DNS。這是很常見的,尤其是對於 ISP 連接,這可能是“攻擊”的來源。

與“可能的闖入嘗試”消息無關,此人實際上是在嘗試使用常用使用者名和密碼進行闖入。不要對 SSH 使用簡單的密碼;事實上,最好的辦法是完全禁用密碼並僅使用 SSH 密鑰。

引用自:https://serverfault.com/questions/260706