Ssh

可疑的 ssh 日誌條目(“不接受匿名”)

  • December 22, 2018

我在我的伺服器上得到了這個日誌條目鏈(以及類似的重複):

Nov 24 07:38:59 server sshd[28676]: SSH: Server;Ltype: Version;Remote: 54.38.81.12-40482;Protocol: 2.0;Client: OpenSSH_7.2p2 Ubuntu-4ubuntu2.4
Nov 24 07:38:59 server sshd[28676]: SSH: Server;Ltype: Kex;Remote: 54.38.81.12-40482;Enc: aes128-cbc;MAC: umac-64-etm@openssh.com;Comp: none [preauth]
Nov 24 07:39:00 server sshd[28676]: SSH: Server;Ltype: Authname;Remote: 54.38.81.12-40482;Name: anonymous [preauth]
Nov 24 07:39:00 server sshd[28676]: Accepted none for anonymous from 54.38.81.12 port 40482 ssh2
Nov 24 07:39:01 server sshd[28681]: refused local port forward: originator 127.0.0.1 port 46338, target 167.114.159.146 port 80
Nov 24 07:39:01 server sshd[28681]: refused local port forward: originator 127.0.0.1 port 47552, target 167.114.159.146 port 80
...
Nov 24 07:39:19 server sshd[28681]: Disconnected from 54.38.81.12

我很確定這是一次黑客攻擊,但如何判斷它是否成功?特別不清楚的是“不接受匿名”消息。這是否意味著我有一個名為anonymous的使用者帳戶,允許無密碼登錄,而黑客以匿名身份登錄並嘗試轉發一些本地埠(可能有些轉發成功,所以他們沒有)沒有被記錄)?

嘗試從本地網路 ( ) 以標準方式匿名ssh anonymous@server登錄,但收到權限被拒絕消息。

如果我沒有被黑客入侵,我該如何防範這種攻擊?由於其他可疑的日誌條目,已經安裝了fail2ban,但這發生在安裝之後。

編輯1:

檢查/etc/ssh/sshd_config文件,發現PermitEmptyPasswords設置為no. 所以應該沒問題。

編輯2:

我對/proc文件系統沒有經驗,但這是我發現的:

user@server:~$ sudo file /proc/5931/exe
/proc/5931/exe: broken symbolic link to /usr/bin/sshd
user@server:~$ sudo which sshd
/usr/sbin/sshd

好的,該file實用程序說這是一個損壞的符號連結,但如果我嘗試sudo hexdump /proc/5931/exe我會得到數據。這正常嗎?

編輯3:

現在我知道編輯 2的原因是什麼。我將兩個系統混合在一起。我在 Synology NAS 上執行 chrooted Debian Stretch。在 /proc 文件系統中有來自 Debian 和 Synology DSM 的程序。每個系統都有 sshd 執行檔的另一個位置。

編輯4:

less /proc/*/cmdline表明:

/usr/bin/sshd^@
sshd: user [priv]
sshd: user@pts/4^@
/usr/sbin/sshd^@
sshd: user [priv]
sshd: user@pts/3^@

編輯5:

我知道這裡顯示的不是可疑登錄本身。(替換user為我的使用者名(完全匿名該輸出)。)問題是我需要在匿名使用者登錄時擷取該過程。他突然斷開連接,因此我無法實時觀看該過程。我如何偽造一個陷阱,以便我可以對匿名使用者登錄做出反應?

意識到匿名使用者僅存在於 Synology DSM 系統上。來自 DSM 系統的日誌是否也可以寫入 chroot 的 Debian?嘗試禁用 FTP 和 SFTP 服務,因為該使用者屬於ftp組,但該使用者仍然存在。DSM 系統上既passwd沒有usermod命令也沒有命令,所以我不確定如何禁用該使用者的訪問。匿名將他的外殼設置為,/sbin/nologin因此甚至無法通過 SSH 登錄並嘗試埠轉發。

編輯6:

檢查了 Synology DSM 系統上的 SSH 配置。好吧,我更改了一些設置:

#PermitEmptyPasswords no-> 未註釋

# allow the use of the none cipher
#NoneEnabled no # uncommented

編輯 6 似乎已經解決了這個問題(至少這種攻擊日誌消失了):

檢查了 Synology DSM 系統上的 SSH 配置。好吧,我更改了一些設置:

#PermitEmptyPasswords no-> 未註釋

# allow the use of the none cipher
#NoneEnabled no # uncommented

引用自:https://serverfault.com/questions/941441