Este servidor está hackeado ou apenas tentativas de login? Ver registro

13

Alguém pode dizer o que isso significa? Eu tentei um comando como lastbpara ver os logins do último usuário e vejo alguns logons estranhos da China (servidor é UE, eu estou na UE). Fiquei me perguntando se poderia haver tentativas de login ou logins bem-sucedidos.

Estes parecem ser muito antigos e, geralmente, eu tranco a porta 22 nos meus IPs, acho que tive a porta aberta por um tempo, o último log é em julho.

root     ssh:notty    222.92.89.xx     Sat Jul  9 12:26 - 12:26  (00:00)
root     ssh:notty    222.92.89.xx     Sat Jul  9 12:04 - 12:04  (00:00)
oracle   ssh:notty    222.92.89.xx     Sat Jul  9 11:43 - 11:43  (00:00)
gary     ssh:notty    222.92.89.xx     Sat Jul  9 11:22 - 11:22  (00:00)
root     ssh:notty    222.92.89.xx     Sat Jul  9 11:01 - 11:01  (00:00)
gt05     ssh:notty    222.92.89.xx     Sat Jul  9 10:40 - 10:40  (00:00)
admin    ssh:notty    222.92.89.xx     Sat Jul  9 10:18 - 10:18  (00:00)
ssh  log-files  login  hacking 
adrianTNT
fonte
1
Você vê esses nomes junto com esse IP em / var / log / auth também?
ott--

Respostas:

6

Ele mostra pessoas tentando fazer upload ou baixar conteúdo. A parte "notty" significa no tty (onde tty é a abreviação de teletype), atualmente não significa monitor ou GUI, e o ssh indica a porta 22, que, em conjunto, significa algo como scp ou rsync.

Portanto, não hackers ou tentativas de login, mas senhas erradas ou incorretas. Pode ser que algum conteúdo tenha sido localizado no google, mas exigia uma senha que alguém tentasse adivinhar.

Na verdade, refletindo, o exposto acima não está certo. Eles podem ter falhado nas tentativas de login via ssh, como suspeitava; e (como eu perdi a primeira vez), eles estão em intervalos regulares de 21 ou 22 minutos, o que sugere um certo grau de automação, mas lastbmostra falhas por definição; portanto, esses resultados precisariam ser comparados lastpara verificar se algum foi bem-sucedido.

ramruma
fonte
3

Feche a porta 22. Configure seu sshd para escutar em uma porta diferente e instale e execute denyhosts.

tzakuk
fonte
2

Por que não usar por último ? Por favor, use o comando 'last' e procure ips da china ou fora dos EUA.

Além disso ... homem é seu amigo homem lasttb

Lastb é o mesmo que last, exceto que, por padrão, mostra um log do arquivo / var / log / btmp, que contém todas as tentativas incorretas de login.

3,14
fonte
1

Sim, essas parecem ser tentativas de login, pois o mesmo IP usou vários nomes de usuário para tentar entrar. Provavelmente um ataque da Força Bruta.

Para resolver isso:

Instale o Fail2Ban e bloqueie as tentativas de logon com -1, o que torna o banimento permanente.

Adicione um arquivo de prisão para proteger o SSH. Crie um novo arquivo com o editor Nano ou vi, vim

nano /etc/fail2ban/jail.d/sshd.local

Para o arquivo acima, adicione as seguintes linhas de código.

[sshd]

enabled = true

port = ssh

"#" ação = firewallcmd-ipset

caminho do log =% (sshd_log) s

maxretry = 5

bantime = -1

Greygan
fonte
0

RE: lastb

As entradas "ssh: notty" / var / log / btmp indicam tentativas de login com falha a partir do número da porta SSH atribuído em "/ etc / ssh / sshd_config".

Por motivos de segurança, a porta SSH geralmente foi alterada para um número diferente de "22". Portanto, "ssh", nesse contexto, significa apenas o número da porta SSH atualmente atribuída (que não é 22).

Como um handshake de certificado SSH bem-sucedido DEVE sempre ser necessário para acessar a tela de login, quaisquer entradas de log "ssh: notty" provavelmente resultam de suas próprias tentativas de login com falha; geralmente a partir de um nome de usuário digitado incorretamente. Anote o endereço IP associado à entrada do log ... provavelmente é o seu!

"notty" significa "no tty".

Aprenda a segurança básica, como funciona, onde estão os logs e como interpretá-los, onde estão os vários arquivos de configuração e o que as diretivas significam e como configurar o IPTables antes de configurar e usar um servidor Linux. Restrinja os logins a um "endereço IP estático" e limite / restrinja as tentativas de login:

Diretivas de configuração SSH BÁSICAS que restringem logins e apenas permitem logins de usuários e endereços IP específicos:

LoginGraceTime 30
MaxStartups 3:50:10
MaxAuthTries 4
PermitRootLogin no
AllowUsers YourUserName@YourIPAddress
PubkeyAuthentication yes
AuthorizedKeysFile   %h/.ssh/authorized_keys
PasswordAuthentication no

Não se esqueça de "reiniciar" o serviço SSH após a edição.

Regras BASIC IPTables que permitem apenas conexões SSH a partir de um endereço IP estático específico:

*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW                                 -j DROP
-A INPUT -m state --state INVALID -j DROP
-A INPUT -f -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN FIN,SYN -j DROP
-A INPUT -p tcp -m tcp --tcp-flags SYN,RST SYN,RST -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,RST FIN,RST -j DROP
-A INPUT -p tcp -m tcp --tcp-flags PSH,ACK PSH -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,ACK FIN -j DROP
-A INPUT -p tcp -m tcp --tcp-flags ACK,URG URG -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,PSH,ACK,URG -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,PSH,URG -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,PSH,URG -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,ACK,URG -j DROP
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp -s YourStaticIPAddress -m multiport --dports SSHPortNumber -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
-A INPUT -j DROP
-A FORWARD -j DROP
COMMIT

Não se esqueça de "restaurar" as tabelas IP após as alterações.

Em uma LAN ou em um ambiente de nuvem "hospedado", não esqueça de proteger o lado "privado" (adaptador de rede). Seus inimigos muitas vezes já têm acesso à sua rede e entram pela porta dos fundos.

Se você estiver em um ambiente de nuvem como o RackSpace ou o DigitalOcean, e estragar as configurações e se trancar, sempre poderá acessar o console e corrigi-lo. SEMPRE FAÇA CÓPIAS DE ARQUIVOS DE CONFIGURAÇÃO ANTES DE EDITÁ-LO !!!

SandPond
fonte
Ao utilizar nosso site, você reconhece que leu e compreendeu nossa Política de Cookies e nossa Política de Privacidade.
Licensed under cc by-sa 3.0 with attribution required.