Ssh
日誌:“收到來自…的斷開連接”,沒有“已接受”部分
我看到很多關於這一行的日誌:
Nov 7 03:47:41 s1 sshd[23430]: Received disconnect from XX.XXX.XX.XX: 11: Nov 7 05:08:16 s1 sshd[24474]: Received disconnect from XX.XXX.XX.XX: 11: Nov 7 06:33:59 s1 sshd[25526]: Received disconnect from XX.XXX.XX.XX: 11: Nov 7 08:06:33 s1 sshd[26601]: Received disconnect from XX.XXX.XX.XX: 11: Nov 7 09:24:14 s1 sshd[27460]: Received disconnect from XX.XXX.XX.XX: 11: Nov 7 10:59:49 s1 sshd[28821]: Received disconnect from XX.XXX.XX.XX: 11: Nov 7 12:14:39 s1 sshd[29894]: Received disconnect from XX.XXX.XX.XX: 11:我在這裡只粘貼了 7 行,但日誌文件中有數百行。IP 始終相同。
有人告訴我,這表明我的伺服器被黑了,攻擊者設法清除了註冊登錄資訊的日誌條目,因為為了獲得“斷開連接”消息,我必須有一個“已接受…”消息以前一樣的IP。這是真的?
我的問題是:
- 有了這些日誌,我可以斷定我的伺服器真的被黑了嗎?
- 這條消息甚至意味著什麼?我在某處讀過 :11 代表:“SSH2_DISCONNECT_BY_APPLICATION”,但我不明白它的真正含義。
伺服器執行 CentOS 並關閉了 SSH 密碼驗證。唯一顯示“Accepted publickey …”的日誌來自我自己的公共 IP 地址。所以我猜他們沒有通過那種方法登錄,除非攻擊者真的清除了任何痕跡,對嗎?
提前謝謝了。
這是蠻力攻擊
這是通過發送登錄請求然後測試結果來嘗試找到登錄訪問的方法,只要結果沒有登錄,它就會重試登錄/密碼的另一個組合,直到授予訪問權限
主要針對網際網路:
- FTP(通常是埠 21)
- SSH(通常是 22 埠)
- TS(通常為 3389 埠)
- 網站登錄頁面(通常埠 80 和 443)
為了防止這種攻擊:
- (如果可能)更改預設埠
- 有一個複雜的密碼
- 盡量避免使用基本登錄名(admin/root/administrator,…)
- 有一個“失敗嘗試”臨時器,這樣會花費太多時間來找到好的登錄名/密碼組合。
如今,大多數係統工具都足以抵禦此類攻擊
我認為除非您的登錄/密碼級別較低,否則您不會被黑客入侵。除了嘗試失敗,這個日誌什麼也沒說。
如果黑客登錄了,他們會刪除所有日誌,而不僅僅是一些日誌(太多時間無所事事)。
你能做的(如果你真的認為你被黑了)是檢查你是否有一段時間沒有日誌或失去日誌。
如建議的那樣,您可以使用一些工具來防止這些攻擊,例如
fail2ban有關資訊
SSH2_DISCONNECT_BY_APPLICATION,您的案例中的消息意味著這是來自以 Java 編寫的殭屍網路的殭屍登錄嘗試