প্রশ্ন "সম্ভাব্য BREAK-ATTEMPT!" / Var / লগ / সুরক্ষিত - এর অর্থ কী?


আমি একটি VPS প্ল্যাটফর্ম উপর চলমান একটি CentOS 5.x বক্স পেয়েছেন। আমার ভিপিএস হোস্টটি আমার সংযোগের সম্পর্কে একটি সমর্থন তদন্ত ভুলভাবে ব্যাখ্যা করেছিল এবং কার্যকরভাবে কিছু iptables নিয়মগুলিকে ফ্লাশ করেছিল। এসএসএসটি স্ট্যান্ডার্ড পোর্টে শোনাচ্ছে এবং পোর্ট সংযোগ পরীক্ষাটি স্বীকার করেছে। বিরক্তিকর।

ভাল খবর আমি SSH অনুমোদিত কি প্রয়োজন। যতদূর আমি বলতে পারি, আমি মনে করি না কোন সফল লঙ্ঘন হয়েছে। আমি এখনও যা দেখছি সে সম্পর্কে খুব উদ্বিগ্ন / var / log / সুরক্ষিত:


Apr 10 06:39:27 echo sshd[22297]: reverse mapping checking getaddrinfo for 222-237-78-139.tongkni.co.kr failed - POSSIBLE BREAK-IN ATTEMPT!
Apr 10 13:39:27 echo sshd[22298]: Received disconnect from 222.237.78.139: 11: Bye Bye
Apr 10 06:39:31 echo sshd[22324]: Invalid user edu1 from 222.237.78.139
Apr 10 06:39:31 echo sshd[22324]: reverse mapping checking getaddrinfo for 222-237-78-139.tongkni.co.kr failed - POSSIBLE BREAK-IN ATTEMPT!
Apr 10 13:39:31 echo sshd[22330]: input_userauth_request: invalid user edu1
Apr 10 13:39:31 echo sshd[22330]: Received disconnect from 222.237.78.139: 11: Bye Bye
Apr 10 06:39:35 echo sshd[22336]: Invalid user test1 from 222.237.78.139
Apr 10 06:39:35 echo sshd[22336]: reverse mapping checking getaddrinfo for 222-237-78-139.tongkni.co.kr failed - POSSIBLE BREAK-IN ATTEMPT!
Apr 10 13:39:35 echo sshd[22338]: input_userauth_request: invalid user test1
Apr 10 13:39:35 echo sshd[22338]: Received disconnect from 222.237.78.139: 11: Bye Bye
Apr 10 06:39:39 echo sshd[22377]: Invalid user test from 222.237.78.139
Apr 10 06:39:39 echo sshd[22377]: reverse mapping checking getaddrinfo for 222-237-78-139.tongkni.co.kr failed - POSSIBLE BREAK-IN ATTEMPT!
Apr 10 13:39:39 echo sshd[22378]: input_userauth_request: invalid user test
Apr 10 13:39:39 echo sshd[22378]: Received disconnect from 222.237.78.139: 11: Bye Bye

ঠিক কি "সম্ভাব্য BREAK-ATTEMPT" মানে কি? এটা কি সফল ছিল? নাকি আইপি পছন্দ করে না যে অনুরোধটি আসছে?


86
2018-04-17 18:17


উত্স




উত্তর:


দুর্ভাগ্যবশত এই এখন একটি খুব সাধারণ ঘটনার। এটি এসএসএইচ-এ একটি স্বয়ংক্রিয় আক্রমণ যা আপনার সিস্টেমে চেষ্টা এবং বিরতির জন্য 'সাধারণ' ব্যবহারকারীর নাম ব্যবহার করে। বার্তাটির অর্থ কি ঠিক তা বোঝায়, এর মানে এই নয় যে আপনি হ্যাক করেছেন, ঠিক যে কেউ চেষ্টা করেছেন।


75
2018-04-17 22:06



ধন্যবাদ লাইন। আমার মনে ভাল করে তোলে। আমি সত্যিই খুশি আমি ssh জন্য অনুমোদিত কী প্রয়োজন। =) - Mike B
"বিপরীত ম্যাপিং পরীক্ষণের জন্য getaddrinfo" উত্স আইপি / হোস্টনাম তৈরি সম্পর্কে আরো। একই সজ্জিত ট্র্যাফিক খারাপ ব্যবহারকারীর নাম চেষ্টা করছে, কিন্তু খারাপ ব্যবহারকারীর নাম "সম্ভাব্য BREAK-ইন ATTEMPT" বার্তা তৈরি করে না। - poisonbit
@ মাইকবিঃ আপনি যোগ করতে চাইতে পারেন fail2ban আপনি সিস্টেম। এই স্বয়ংক্রিয়ভাবে এই আক্রমণকারীদের আইপি ঠিকানা ব্লক কনফিগার করা যাবে। - Iain
@ পিসিনবিট: আপনার অধিকার মানে এটি একটি বিপরীত অনুসন্ধান যা তারপরে একটি রেকর্ডের সমাধান করতে পারে না তবে বৃত্তান্তে এটি একই স্বয়ংক্রিয় আক্রমণের সমস্ত অংশ। - Iain
মনে রাখবেন যে 'বিপরীত ম্যাপিং ব্যর্থ হয়েছে' এর অর্থ কেবলমাত্র ব্যবহারকারীর ISP বিপরীত DNS সঠিকভাবে কনফিগার করা হয়নি, যা বেশ সাধারণ। @ গিয়া এর উত্তর দেখুন। - Wilfred Hughes


"সম্ভাব্য BREAK-ইন ATTEMPT" অংশ বিশেষভাবে, "বিপরীত ম্যাপিং পরীক্ষণ gataddrinfo ব্যর্থ" অংশ সম্পর্কিত। এর মানে হল যে সংযোগকারী ব্যক্তিটি এগিয়ে ছিল না এবং সঠিকভাবে কনফিগার করা DNS বিপরীত। এটি বেশ সাধারণ, বিশেষ করে আইএসপি সংযোগগুলির জন্য, যেখানে "আক্রমণ" সম্ভবত আসছে।

"সম্ভাব্য BREAK-ইন ATTEMPT" বার্তাটির সাথে সম্পর্কিত নয়, ব্যক্তি আসলে সাধারণ ব্যবহারকারীর নাম এবং পাসওয়ার্ড ব্যবহার করে বিরতির চেষ্টা করছে। এসএসএইচ জন্য সহজ পাসওয়ার্ড ব্যবহার করবেন না; প্রকৃতপক্ষে পাসওয়ার্ডগুলি সম্পূর্ণরূপে নিষ্ক্রিয় করা এবং শুধুমাত্র SSH কীগুলি ব্যবহার করার সেরা ধারণা।


49
2017-10-23 20:16



যদি এটি ISP এর মাধ্যমে একটি (বৈধ) সংযোগ দ্বারা উত্পন্ন হয়, তবে আপনি এই বিপরীত ম্যাপিং ত্রুটিটি পরিত্রাণ পেতে আপনার / etc / hosts ফাইলে একটি এন্ট্রি যোগ করতে পারেন। স্পষ্টতই আপনি যদি এটি জানতেন যে ত্রুটিটি বিনীত এবং আপনার লগগুলি পরিষ্কার করতে চান তবে আপনি কেবল এটিই করবেন। - artfulrobot


"কি ঠিক আছে" সম্ভাব্য BREAK-ATTEMPT এ "মানে?"

এর অর্থ নেটব্লক মালিক তাদের পরিসরের মধ্যে স্থির আইপিটির জন্য পিটিআর রেকর্ড আপডেট করেননি, এবং বলেন যে পিটিআর রেকর্ডটি পুরানো হয়েছে, অথবা একটি আইএসপি তার গতিশীল আইপি গ্রাহকদের জন্য সঠিক বিপরীত রেকর্ড সেট আপ না। এটি খুব সাধারণ, এমনকি বড় ISPs জন্য।

আপনি আপনার লগে বার্তাটি পেয়েছেন কারণ অনুপযুক্ত পিটিআর রেকর্ডগুলির সাথে একটি আইপি থেকে আসা কেউ (উপরের কারণগুলির একটিতে) আপনার সার্ভারে SSH ব্যবহার করার জন্য সাধারণ ব্যবহারকারীর নামগুলি ব্যবহার করার চেষ্টা করছে (সম্ভবত বর্বর বাহিনীর আক্রমণ, অথবা সম্ভবত একটি সৎ ভুল )।

এই সতর্কতা নিষ্ক্রিয় করতে, আপনার দুটি পছন্দ রয়েছে:

1) আপনি একটি স্ট্যাটিক আইপি আছে, আপনার / etc / হোস্ট ফাইলগুলিতে আপনার বিপরীত ম্যাপিং যুক্ত করুন (আরও তথ্য দেখুন এখানে):

10.10.10.10 server.remotehost.com

2) আপনি একটি গতিশীল আইপি আছে এবং সত্যিই সেই সতর্কতাগুলি সরাতে চান, আপনার / etc / ssh / sshd_config ফাইলে "GSSAPIA প্রমাণীকরণ হ্যাঁ" মন্তব্য করুন।


30
2018-01-12 10:33



মন্তব্য GSSAPIAuthentication আমার ক্ষেত্রে সাহায্য করে না ( - SET


আপনি আপনার লগ সহজে পড়তে এবং চেক করতে পারেন বিপরীত lookp-ups বন্ধ বাঁক sshd_config (UseDNS no) তে। এটি sshd কে "পজিবল BREAK-ইন ATTEMPT" সহ "গোলমাল" লাইনগুলিকে লগ করা থেকে বিরত রাখে যা আপনাকে "আইপ্যাড থেকে ব্যবহারকারীর অবৈধ ব্যবহারকারী" সম্বলিত সামান্য আরো আকর্ষণীয় লাইনগুলিতে মনোযোগ দেওয়ার জন্য ছেড়ে দেয়।


13
2018-04-17 18:23



পাবলিক ইন্টারনেটের সাথে সংযুক্ত সার্ভারে sshd বিপরীত অনুসন্ধানগুলি নিষ্ক্রিয় করার নেতিবাচক দিকটি কী? এই অপশনটি সক্রিয় করার জন্য সব কি কোনো ঊর্ধ্বগতি আছে? - Eddie
@ এডি আমি মনে করি না sshd দ্বারা সঞ্চালিত DNS সন্ধানগুলি কোনও কার্যকর উদ্দেশ্যে কাজ করে। DNS সন্ধানগুলি নিষ্ক্রিয় করার দুটি ভাল কারণ রয়েছে। সন্ধানের সময় শেষ হলে DNS সন্ধানগুলি লগইন হ্রাস করতে পারে। এবং লগ ইন "সম্ভাব্য BREAK-ATTEMPT" বার্তা বিভ্রান্তিকর। যে সমস্ত বার্তা সত্যিই অর্থ হল ক্লায়েন্ট misconfigured DNS আছে। - kasperd
@kasperd UseDNS প্রয়োজন হয়, যদি প্রয়োজন / হোস্টনাম ব্যবহার করতে চায় from= নির্দেশিকা authorized_keys নথি পত্র. - gf_
আমি @আলাফএম থেকে ভিন্নমত পোষণ করি - "ইউএসডিএনএসএস না" sshd কে বিপরীত ম্যাপিং চেকটি সঞ্চালন করার জন্য বলে এবং তাই এটি সিস্টেম লগগুলিতে "সম্ভাব্য BREAK-IN ATEMPT" ধারণকারী কোনও লাইন যোগ করবে না। পার্শ্ব প্রতিক্রিয়া হিসাবে এটি হোস্ট থেকে সংযোগ প্রচেষ্টাগুলি দ্রুত গতিতে DNS কনফিগার করার পরিবর্তে গতি বাড়িয়ে তুলতে পারে। - TimT
হ্যাঁ @ ওলাফএম আমি প্রায় 4-5 বছর আগে লিনাক্সে করেছি। এটা বেশ আমার লগ ছোট এবং বন্ধ logcheck মূল্যহীন ইমেইল রিপোর্ট সঙ্গে আমাকে bugging। - TimT


এটি একটি সফল লগইন দরকার নয়, কিন্তু এটি "ইতিবাচক" এবং "প্রচেষ্টা" বলে।

কিছু খারাপ ছেলে বা স্ক্রিপ্ট Kiddie, একটি মিথ্যা উৎপত্তি আইপি সঙ্গে আপনি খচিত ট্র্যাফিক পাঠানো হয়।

আপনি আপনার এসএসএইচ কীগুলিতে মূল আইপি সীমাবদ্ধতা যুক্ত করতে পারেন এবং fail2ban এর মতো কিছু চেষ্টা করুন।


5



ধন্যবাদ। আমি iptables শুধুমাত্র নির্বাচিত উত্স থেকে ssh সংযোগ অনুমতি দেয় সেট আছে। আমি fail2ban ইনস্টল এবং চলমান আছে। - Mike B