Этот сервер взломан или только попытки входа? Посмотреть журнал

13

Может кто-нибудь сказать, что это значит? Я попробовал команду, например, lastbчтобы увидеть последние логины пользователей, и я вижу некоторые странные логины из Китая (сервер находится в ЕС, я в ЕС). Мне было интересно, могут ли это быть попытки входа в систему или успешные входы в систему?

Они кажутся очень старыми, и обычно я блокирую порт 22 только для своих IP-адресов, я думаю, что порт был открыт некоторое время, последний журнал был в июле.

root     ssh:notty    222.92.89.xx     Sat Jul  9 12:26 - 12:26  (00:00)
root     ssh:notty    222.92.89.xx     Sat Jul  9 12:04 - 12:04  (00:00)
oracle   ssh:notty    222.92.89.xx     Sat Jul  9 11:43 - 11:43  (00:00)
gary     ssh:notty    222.92.89.xx     Sat Jul  9 11:22 - 11:22  (00:00)
root     ssh:notty    222.92.89.xx     Sat Jul  9 11:01 - 11:01  (00:00)
gt05     ssh:notty    222.92.89.xx     Sat Jul  9 10:40 - 10:40  (00:00)
admin    ssh:notty    222.92.89.xx     Sat Jul  9 10:18 - 10:18  (00:00)
ssh  log-files  login  hacking 
adrianTNT
источник
1
Вы видите эти имена вместе с этим IP в / var / log / auth?
ot--

Ответы:

16

lastbпоказывает только ошибки входа в систему . Используйте lastдля просмотра успешных входов.

Майкл Хэмптон
источник
6

Это показывает людей, пытающихся загрузить или загрузить контент. Часть «notty» означает no tty (где tty - сокращение от teletype), что в наши дни означает отсутствие монитора или графического интерфейса, а ssh указывает на порт 22, которые вместе означают что-то вроде scp или rsync.

Таким образом, не взлом или попытки входа в систему, но неправильные или неправильно набранные пароли. Возможно, какой-то контент был найден через Google, но требовал пароль, который кто-то пытался угадать.

На самом деле, если подумать, вышесказанное не правильно. Это могут быть неудачные попытки входа в систему через ssh, как подозревал спрашивающий; и (как я пропустил в первый раз) они имеют регулярные интервалы в 21 или 22 минуты, что предполагает определенную степень автоматизации, но lastbпоказывает сбои по определению, поэтому эти результаты необходимо сравнить с результатами, lastчтобы увидеть, были ли они успешными.

ramruma
источник
3

Закройте порт 22. Настройте ваш sshd для прослушивания другого порта, а также для установки и запуска denyhosts.

tzakuk
источник
2

Почему не использовать последний ?? Пожалуйста, используйте команду «last» и ищите ips из Китая или за пределами США.

Также ... мужчина твой друг мужчина lasttb

Lastb такой же, как last, за исключением того, что по умолчанию он показывает журнал файла / var / log / btmp, который содержит все неудачные попытки входа в систему.

3,14
источник
1

Да, это, по-видимому, попытки входа в систему, поскольку один и тот же IP-адрес использовал несколько имен пользователей для попытки входа. Скорее всего, атака грубой силы.

Чтобы решить эту проблему:

Установите Fail2Ban и заблокируйте неудачные попытки входа в систему с -1, что делает их бан постоянным.

Добавьте файл тюрьмы для защиты SSH. Создайте новый файл с помощью редактора Nano или vi, vim

nano /etc/fail2ban/jail.d/sshd.local

К приведенному выше файлу добавьте следующие строки кода.

[SSHD]

включен = правда

порт = ssh

"#" action = firewallcmd-ipset

logpath =% (sshd_log) s

maxretry = 5

bantime = -1

Greygan
источник
0

RE: lastb

Записи "ssh: notty" / var / log / btmp указывают на неудачные попытки входа в систему с номера порта SSH, назначенного в "/ etc / ssh / sshd_config".

По соображениям безопасности порт SSH обычно будет изменен на номер, отличный от «22». Таким образом, «ssh» в данном контексте означает просто назначенный в настоящее время (не 22) номер порта SSH.

Поскольку успешное рукопожатие сертификата SSH ДОЛЖНО всегда требоваться для доступа к экрану входа в систему, любые записи журнала «ssh: notty», вероятно, являются результатом ваших неудачных попыток входа в систему; обычно из-за опечатки в имени пользователя. Обратите внимание на IP-адрес, связанный с записью в журнале ... это, вероятно, ваш собственный!

«notty» означает «нет tty».

Изучите основы безопасности, как это работает, где находятся журналы и как их интерпретировать, а также где находятся различные конфигурационные файлы и что означают директивы, и как настроить IPTables перед установкой и использованием сервера Linux. Ограничьте входы в систему «статическим IP-адресом» и ограничьте / ограничьте попытки входа в систему:

ОСНОВНЫЕ директивы конфигурации SSH, которые ограничивают вход в систему и разрешают вход только от определенных пользователей и IP-адресов:

LoginGraceTime 30
MaxStartups 3:50:10
MaxAuthTries 4
PermitRootLogin no
AllowUsers YourUserName@YourIPAddress
PubkeyAuthentication yes
AuthorizedKeysFile   %h/.ssh/authorized_keys
PasswordAuthentication no

Не забудьте перезапустить службу SSH после редактирования.

ОСНОВНЫЕ правила IPTables, которые разрешают SSH-соединения только с определенного статического IP-адреса:

*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW                                 -j DROP
-A INPUT -m state --state INVALID -j DROP
-A INPUT -f -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN FIN,SYN -j DROP
-A INPUT -p tcp -m tcp --tcp-flags SYN,RST SYN,RST -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,RST FIN,RST -j DROP
-A INPUT -p tcp -m tcp --tcp-flags PSH,ACK PSH -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,ACK FIN -j DROP
-A INPUT -p tcp -m tcp --tcp-flags ACK,URG URG -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,PSH,ACK,URG -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,PSH,URG -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,PSH,URG -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,ACK,URG -j DROP
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp -s YourStaticIPAddress -m multiport --dports SSHPortNumber -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
-A INPUT -j DROP
-A FORWARD -j DROP
COMMIT

Не забудьте "восстановить" таблицы IP после изменений.

В локальной сети или в «размещенной» облачной среде не забудьте защитить «частную» сторону (сетевой адаптер). Ваши враги часто уже имеют доступ к вашей сети и входят через черный ход.

Если вы находитесь в облачной среде, такой как RackSpace или DigitalOcean, и вы запутались в настройках и заблокировали себя, вы всегда можете пройти через консоль и исправить ее. ВСЕГДА СДЕЛАЙТЕ КОПИИ КОНФИГОВЫХ ФАЙЛОВ ДО РЕДАКТИРОВАНИЯ ИХ !!!

SandPond
источник
Используя наш сайт, вы подтверждаете, что прочитали и поняли нашу Политику в отношении файлов cookie и Политику конфиденциальности.
Licensed under cc by-sa 3.0 with attribution required.