可疑的 ssh 日誌條目(“不接受匿名”)
我在我的伺服器上得到了這個日誌條目鏈(以及類似的重複):
Nov 24 07:38:59 server sshd[28676]: SSH: Server;Ltype: Version;Remote: 54.38.81.12-40482;Protocol: 2.0;Client: OpenSSH_7.2p2 Ubuntu-4ubuntu2.4 Nov 24 07:38:59 server sshd[28676]: SSH: Server;Ltype: Kex;Remote: 54.38.81.12-40482;Enc: aes128-cbc;MAC: umac-64-etm@openssh.com;Comp: none [preauth] Nov 24 07:39:00 server sshd[28676]: SSH: Server;Ltype: Authname;Remote: 54.38.81.12-40482;Name: anonymous [preauth] Nov 24 07:39:00 server sshd[28676]: Accepted none for anonymous from 54.38.81.12 port 40482 ssh2 Nov 24 07:39:01 server sshd[28681]: refused local port forward: originator 127.0.0.1 port 46338, target 167.114.159.146 port 80 Nov 24 07:39:01 server sshd[28681]: refused local port forward: originator 127.0.0.1 port 47552, target 167.114.159.146 port 80 ... Nov 24 07:39:19 server sshd[28681]: Disconnected from 54.38.81.12
我很確定這是一次黑客攻擊,但如何判斷它是否成功?特別不清楚的是“不接受匿名”消息。這是否意味著我有一個名為anonymous的使用者帳戶,允許無密碼登錄,而黑客以匿名身份登錄並嘗試轉發一些本地埠(可能有些轉發成功,所以他們沒有)沒有被記錄)?
嘗試從本地網路 ( ) 以標準方式匿名
ssh anonymous@server
登錄,但收到權限被拒絕消息。如果我沒有被黑客入侵,我該如何防範這種攻擊?由於其他可疑的日誌條目,已經安裝了fail2ban,但這發生在安裝之後。
編輯1:
檢查
/etc/ssh/sshd_config
文件,發現PermitEmptyPasswords
設置為no
. 所以應該沒問題。編輯2:
我對
/proc
文件系統沒有經驗,但這是我發現的:user@server:~$ sudo file /proc/5931/exe /proc/5931/exe: broken symbolic link to /usr/bin/sshd user@server:~$ sudo which sshd /usr/sbin/sshd
好的,該
file
實用程序說這是一個損壞的符號連結,但如果我嘗試sudo hexdump /proc/5931/exe
我會得到數據。這正常嗎?編輯3:
現在我知道編輯 2的原因是什麼。我將兩個系統混合在一起。我在 Synology NAS 上執行 chrooted Debian Stretch。在 /proc 文件系統中有來自 Debian 和 Synology DSM 的程序。每個系統都有 sshd 執行檔的另一個位置。
編輯4:
這
less /proc/*/cmdline
表明:/usr/bin/sshd^@ sshd: user [priv] sshd: user@pts/4^@ /usr/sbin/sshd^@ sshd: user [priv] sshd: user@pts/3^@
編輯5:
我知道這裡顯示的不是可疑登錄本身。(替換
user
為我的使用者名(完全匿名該輸出)。)問題是我需要在匿名使用者登錄時擷取該過程。他突然斷開連接,因此我無法實時觀看該過程。我如何偽造一個陷阱,以便我可以對匿名使用者登錄做出反應?意識到匿名使用者僅存在於 Synology DSM 系統上。來自 DSM 系統的日誌是否也可以寫入 chroot 的 Debian?嘗試禁用 FTP 和 SFTP 服務,因為該使用者屬於ftp組,但該使用者仍然存在。DSM 系統上既
passwd
沒有usermod
命令也沒有命令,所以我不確定如何禁用該使用者的訪問。匿名將他的外殼設置為,/sbin/nologin
因此甚至無法通過 SSH 登錄並嘗試埠轉發。編輯6:
檢查了 Synology DSM 系統上的 SSH 配置。好吧,我更改了一些設置:
#PermitEmptyPasswords no
-> 未註釋# allow the use of the none cipher #NoneEnabled no # uncommented
編輯 6 似乎已經解決了這個問題(至少這種攻擊日誌消失了):
檢查了 Synology DSM 系統上的 SSH 配置。好吧,我更改了一些設置:
#PermitEmptyPasswords no
-> 未註釋# allow the use of the none cipher #NoneEnabled no # uncommented