Ssh

日誌:“收到來自…的斷開連接”,沒有“已接受”部分

  • August 25, 2020

我看到很多關於這一行的日誌:

Nov  7 03:47:41 s1 sshd[23430]: Received disconnect from XX.XXX.XX.XX: 11:
Nov  7 05:08:16 s1 sshd[24474]: Received disconnect from XX.XXX.XX.XX: 11:
Nov  7 06:33:59 s1 sshd[25526]: Received disconnect from XX.XXX.XX.XX: 11:
Nov  7 08:06:33 s1 sshd[26601]: Received disconnect from XX.XXX.XX.XX: 11:
Nov  7 09:24:14 s1 sshd[27460]: Received disconnect from XX.XXX.XX.XX: 11:
Nov  7 10:59:49 s1 sshd[28821]: Received disconnect from XX.XXX.XX.XX: 11:
Nov  7 12:14:39 s1 sshd[29894]: Received disconnect from XX.XXX.XX.XX: 11:

我在這裡只粘貼了 7 行,但日誌文件中有數百行。IP 始終相同。

有人告訴我,這表明我的伺服器被黑了,攻擊者設法清除了註冊登錄資訊的日誌條目,因為為了獲得“斷開連接”消息,我必須有一個“已接受…”消息以前一樣的IP。這是真的?

我的問題是:

  • 有了這些日誌,我可以斷定我的伺服器真的被黑了嗎?
  • 這條消息甚至意味著什麼?我在某處讀過 :11 代表:“SSH2_DISCONNECT_BY_APPLICATION”,但我不明白它的真正含義。

伺服器執行 CentOS 並關閉了 SSH 密碼驗證。唯一顯示“Accepted publickey …”的日誌來自我自己的公共 IP 地址。所以我猜他們沒有通過那種方法登錄,除非攻擊者真的清除了任何痕跡,對嗎?

提前謝謝了。

這是蠻力攻擊

這是通過發送登錄請求然後測試結果來嘗試找到登錄訪問的方法,只要結果沒有登錄,它就會重試登錄/密碼的另一個組合,直到授予訪問權限

主要針對網際網路:

  • FTP(通常是埠 21)
  • SSH(通常是 22 埠)
  • TS(通常為 3389 埠)
  • 網站登錄頁面(通常埠 80 和 443)

為了防止這種攻擊:

  • (如果可能)更改預設埠
  • 有一個複雜的密碼
  • 盡量避免使用基本登錄名(admin/root/administrator,…)
  • 有一個“失敗嘗試”臨時器,這樣會花費太多時間來找到好的登錄名/密碼組合。

如今,大多數係統工具都足以抵禦此類攻擊

我認為除非您的登錄/密碼級別較低,否則您不會被黑客入侵。除了嘗試失敗,這個日誌什麼也沒說。

如果黑客登錄了,他們會刪除所有日誌,而不僅僅是一些日誌(太多時間無所事事)。

你能做的(如果你真的認為你被黑了)是檢查你是否有一段時間沒有日誌或失去日誌。

如建議的那樣,您可以使用一些工具來防止這些攻擊,例如fail2ban

有關資訊SSH2_DISCONNECT_BY_APPLICATION,您的案例中的消息意味著這是來自以 Java 編寫的殭屍網路的殭屍登錄嘗試

引用自:https://serverfault.com/questions/735032