我有一个在VPS平台上运行的CentOS 5.x盒子。我的VPS主机误解了我对连接的支持询问,并有效地刷新了一些iptables规则。这导致ssh在标准端口上侦听并确认端口连接测试。烦死了

好消息是我需要SSH授权密钥。据我所知,我认为没有任何成功的突破。我仍然非常担心在/ var / log / secure中看到的内容:


Apr 10 06:39:27 echo sshd[22297]: reverse mapping checking getaddrinfo for 222-237-78-139.tongkni.co.kr failed - POSSIBLE BREAK-IN ATTEMPT!
Apr 10 13:39:27 echo sshd[22298]: Received disconnect from 222.237.78.139: 11: Bye Bye
Apr 10 06:39:31 echo sshd[22324]: Invalid user edu1 from 222.237.78.139
Apr 10 06:39:31 echo sshd[22324]: reverse mapping checking getaddrinfo for 222-237-78-139.tongkni.co.kr failed - POSSIBLE BREAK-IN ATTEMPT!
Apr 10 13:39:31 echo sshd[22330]: input_userauth_request: invalid user edu1
Apr 10 13:39:31 echo sshd[22330]: Received disconnect from 222.237.78.139: 11: Bye Bye
Apr 10 06:39:35 echo sshd[22336]: Invalid user test1 from 222.237.78.139
Apr 10 06:39:35 echo sshd[22336]: reverse mapping checking getaddrinfo for 222-237-78-139.tongkni.co.kr failed - POSSIBLE BREAK-IN ATTEMPT!
Apr 10 13:39:35 echo sshd[22338]: input_userauth_request: invalid user test1
Apr 10 13:39:35 echo sshd[22338]: Received disconnect from 222.237.78.139: 11: Bye Bye
Apr 10 06:39:39 echo sshd[22377]: Invalid user test from 222.237.78.139
Apr 10 06:39:39 echo sshd[22377]: reverse mapping checking getaddrinfo for 222-237-78-139.tongkni.co.kr failed - POSSIBLE BREAK-IN ATTEMPT!
Apr 10 13:39:39 echo sshd[22378]: input_userauth_request: invalid user test
Apr 10 13:39:39 echo sshd[22378]: Received disconnect from 222.237.78.139: 11: Bye Bye



究竟是什么,“可能的闯入尝试”是什么意思?那成功了吗?还是它不喜欢请求来自的IP?

#1 楼

不幸的是,这在现在非常普遍。这是对SSH的自动攻击,它使用“通用”用户名尝试侵入您的系统。该消息的含义与所讲的完全相同,并不意味着您已经被黑客入侵,只是有人尝试过。

评论


谢谢莱恩。那让我感觉好些。我真的很高兴我需要ssh的授权密钥。 =)

– Mike B
2011年4月17日在18:31

“反向映射检查getaddrinfo”是关于源IP /主机名的更多信息。相同的流量尝试使用错误的用户名,但是错误的用户名不会生成“可能的侵入尝试”消息。

– Poisonbit
2011-4-17 18:34



@MikeyB:您可能希望查看将fail2ban添加到您的系统。可以将其配置为自动阻止这些攻击者的IP地址。

–user9517
2011年4月17日在18:35

请注意,“反向映射失败”可能仅表示用户的ISP未正确配置反向DNS,这很常见。参见@Gaia的答案。

–威尔士·休斯
2013年10月9日13:52



这是不准确的,仅表示反向DNS与客户端发送以标识自己的主机名不匹配。它可能已被标记,因为对于使用.rhosts或.shosts身份验证的人来说,这可能是尝试的中断(我从未见过使用过)。进行扫描,但这不是此消息的含义(尽管任何连接都可以触发它)(对于扫描,失败的身份验证/未知用户消息更适合查找)

– Gert van den Berg
18年11月16日在7:38

#2 楼

“可能的闯入尝试”部分特别与“反向映射检查getaddrinfo失败”部分有关。这意味着连接的人没有正确配置正向和反向DNS。这是很常见的,尤其是对于ISP连接,这可能是“攻击”的来源。

与“可能的闯入尝试”消息无关,此人实际上是在试图闯入使用常见的用户名和密码。请勿对SSH使用简单密码;实际上,最好是完全禁用密码并仅使用SSH密钥。

评论


如果它是通过ISP的(有效)连接生成的,则可以将条目添加到/ etc / hosts文件中,以消除此反向映射错误。显然,只有在知道错误是良性的并且想要清除日志的情况下,才执行此操作。

– artfulrobot
2012年8月10日在9:22

#3 楼


““可能的闯入尝试”到底是什么意思?”


这意味着netblock所有者未更新其范围内的静态IP的PTR记录,并且说PTR记录已经过时,或者ISP没有为其动态IP客户设置正确的反向记录。即使对于大型ISP来说,这也是很常见的。

您最终会在日志中收到味精,因为某人来自IP地址不正确的PTR记录(由于上述原因之一)正试图使用尝试通过SSH进入服务器的常见用户名(可能是蛮力攻击,或者可能是诚实的错误)。

要禁用这些警报,您有两种选择:

1)如果具有静态IP,请将反向映射添加到/ etc / hosts文件中(在此处查看更多信息):

10.10.10.10 server.remotehost.com


2)如果您具有动态IP要使这些警报消失,请在/ etc / ssh / sshd_config文件中注释掉“ GSSAPIAuthentication yes”。

评论


在我的情况下,评论GSSAPIAuthentication没有帮助(

– SET
2014年1月3日,0:57

UseDNS no可能是摆脱它的更好的设置(以及服务器出现DNS问题时的缓慢登录...)

– Gert van den Berg
18年11月16日在7:39

#4 楼

通过关闭sshd_config中的反向查询(UseDNS no),可以使日志更易于阅读和检查。这将防止sshd记录包含“可能的闯入尝试”的“噪声”行,而使您将注意力集中在包含“来自IPADDRESS的无效用户USER”的稍微有趣的行上。

评论


在连接到公共Internet的服务器上禁用sshd反向查询的不利之处是什么?启用此选项是否有任何好处?

–艾迪
2013年11月6日15:48

@Eddie我认为sshd执行的DNS查找没有任何有用的用途。禁用DNS查找有两个很好的理由。如果查询超时,DNS查询会减慢登录速度。并且日志中的“可能的侵入尝试”消息具有误导性。该消息的真正含义是客户端配置了错误的DNS。

–卡巴斯德
2015年7月1日在10:12

我不同意@OlafM-“ UseDNS no”告诉sshd不执行反向映射检查,因此它将不会在系统日志中添加任何包含“可能的闯入尝试”的行。副作用是,与未正确配置反向DNS相比,它还可能加速来自主机的连接尝试。

– TimTim
17年5月4日,12:55

是的,@ OlafM我大约在4-5年前在Linux上做过。它大大缩短了我的日志,并停止了logcheck,让我无用的电子邮件报告困扰着我。

– TimTim
17年5月26日在8:07



UseDNS的主要用途是(不好的主意).rhosts和.shosts身份验证(基于主机的身份验证)。 (还有SSHD config和authorized_keys中的“从匹配”选项)(有一个单独的设置HostbasedUsesNameFromPacketOnly,但对于基于主机的身份验证也需要切换反向查找,这比使用基于主机的身份验证更糟糕。)

– Gert van den Berg
18年11月16日在7:44

#5 楼

成功登录并不一定要成功,但是它说的是“可能的”和“尝试的”。

一些坏男孩或脚本小子正在向您发送带有错误来源IP的精心设计的流量。

您可以将原始IP限制添加到SSH密钥,然后尝试使用fail2ban之类的方法。

评论


谢谢。我已将iptables设置为仅允许来自选定来源的ssh连接。我也已经安装并运行了fail2ban。

– Mike B
2011年4月17日在18:31