Question “TENTATIVE D'INTERRUPTION POSSIBLE!” Dans / var / log / secure - qu'est-ce que cela signifie?


J'ai une boîte CentOS 5.x fonctionnant sur une plate-forme VPS. Mon hôte VPS a mal interprété une demande d'assistance concernant la connectivité et a effacé de manière efficace certaines règles iptables. Cela a abouti à ce que ssh écoute le port standard et accuse réception des tests de connectivité du port. Ennuyeux.

La bonne nouvelle est que j'ai besoin de clés SSH Authorized. Autant que je sache, je ne pense pas qu'il y ait eu de violation réussie. Je suis toujours très préoccupé par ce que je vois dans / var / log / secure:


Apr 10 06:39:27 echo sshd[22297]: reverse mapping checking getaddrinfo for 222-237-78-139.tongkni.co.kr failed - POSSIBLE BREAK-IN ATTEMPT!
Apr 10 13:39:27 echo sshd[22298]: Received disconnect from 222.237.78.139: 11: Bye Bye
Apr 10 06:39:31 echo sshd[22324]: Invalid user edu1 from 222.237.78.139
Apr 10 06:39:31 echo sshd[22324]: reverse mapping checking getaddrinfo for 222-237-78-139.tongkni.co.kr failed - POSSIBLE BREAK-IN ATTEMPT!
Apr 10 13:39:31 echo sshd[22330]: input_userauth_request: invalid user edu1
Apr 10 13:39:31 echo sshd[22330]: Received disconnect from 222.237.78.139: 11: Bye Bye
Apr 10 06:39:35 echo sshd[22336]: Invalid user test1 from 222.237.78.139
Apr 10 06:39:35 echo sshd[22336]: reverse mapping checking getaddrinfo for 222-237-78-139.tongkni.co.kr failed - POSSIBLE BREAK-IN ATTEMPT!
Apr 10 13:39:35 echo sshd[22338]: input_userauth_request: invalid user test1
Apr 10 13:39:35 echo sshd[22338]: Received disconnect from 222.237.78.139: 11: Bye Bye
Apr 10 06:39:39 echo sshd[22377]: Invalid user test from 222.237.78.139
Apr 10 06:39:39 echo sshd[22377]: reverse mapping checking getaddrinfo for 222-237-78-139.tongkni.co.kr failed - POSSIBLE BREAK-IN ATTEMPT!
Apr 10 13:39:39 echo sshd[22378]: input_userauth_request: invalid user test
Apr 10 13:39:39 echo sshd[22378]: Received disconnect from 222.237.78.139: 11: Bye Bye

Que signifie exactement "TENTATIVE DE RUPTURE POSSIBLE"? Que c'était réussi? Ou qu'il n'a pas aimé l'adresse IP d'où venait la demande?


86
2018-04-17 18:17


origine




Réponses:


Malheureusement, cela est maintenant très fréquent. Il s’agit d’une attaque automatisée sur SSH qui utilise des noms d’utilisateurs «courants» pour tenter de pénétrer dans votre système. Le message signifie exactement ce qu'il dit, cela ne signifie pas que vous avez été piraté, mais que quelqu'un a essayé.


75
2018-04-17 22:06



Merci Lain. Cela me fait me sentir mieux. Je suis vraiment content d'avoir besoin de clés autorisées pour SSH. =) - Mike B
"Mappage inversé sur getaddrinfo pour" concerne davantage l'adresse IP source / le nom d'hôte créé. Le même trafic conçu tente des noms d'utilisateur incorrects, mais ceux-ci ne génèrent pas le message "POSSIBLE BREAK-IN ATTEMPT". - poisonbit
@MikeyB: Vous voudrez peut-être envisager d'ajouter fail2ban à votre système. Cela peut être configuré pour bloquer automatiquement les adresses IP de ces attaquants. - Iain
@poisonbit: Votre droit, cela signifie qu'il existe une recherche inversée qui ne se résout ensuite pas en un enregistrement A, mais qui fait désormais partie de la même attaque automatisée. - Iain
Notez que "l'inversion de mappage a échoué" peut simplement signifier que le FAI de l'utilisateur n'a pas configuré correctement le reverse DNS, ce qui est assez courant. Voir la réponse de @Gaia. - Wilfred Hughes


La partie "TENTATIVE D'INTERRUPTION POSSIBLE" est spécifiquement liée à la partie "échec de la vérification du mappage inversé getaddrinfo". Cela signifie que la personne qui se connectait n'avait pas configuré le DNS inversé et inversé correctement. C'est assez courant, surtout pour les connexions ISP, d'où provient probablement "l'attaque".

Indépendamment du message "TENTATIVE D'INTERRUPTION POSSIBLE", la personne tente actuellement de s'introduire par effraction en utilisant des noms d'utilisateur et des mots de passe communs. N'utilisez pas de mots de passe simples pour SSH; En fait, la meilleure idée est de désactiver complètement les mots de passe et d’utiliser les clés SSH uniquement.


49
2017-10-23 20:16



S'il est généré par une connexion (valide) via un fournisseur de services Internet, vous pouvez ajouter une entrée à votre fichier / etc / hosts pour supprimer cette erreur de mappage inversé. Évidemment, vous ne le feriez que si vous saviez que l'erreur est bénigne et souhaitez nettoyer vos journaux. - artfulrobot


"Que signifie exactement" TENTATIVE DE RUPTURE POSSIBLE "?"

Cela signifie que le propriétaire du bloc réseau n'a pas mis à jour l'enregistrement PTR pour une adresse IP statique comprise dans leur plage, et que l'enregistrement PTR est obsolète. OU un fournisseur de services Internet ne configure pas les enregistrements inversés appropriés pour ses clients IP dynamiques. Ceci est très courant, même pour les grands FAI.

Vous finissez par avoir le message dans votre journal parce que quelqu'un venant d'une adresse IP avec des enregistrements PTR incorrects (pour l'une des raisons ci-dessus) essaie d'utiliser des noms d'utilisateur courants pour essayer SSH sur votre serveur (éventuellement une attaque brutale ou peut-être une erreur honnête ).

Pour désactiver ces alertes, vous avez deux choix:

1) Si vous avez une adresse IP statique, ajoutez votre reverse mapping à votre fichier / etc / hosts (voir plus d'infos ici):

10.10.10.10 server.remotehost.com

2) Si vous avez une adresse IP dynamique et si vous souhaitez vraiment que ces alertes disparaissent, commentez le "GSSAPIAuthentication yes" dans votre fichier / etc / ssh / sshd_config.


30
2018-01-12 10:33



commentant GSSAPIAuthentication ne m'aide pas dans mon cas ( - SET


Vous pouvez rendre vos journaux plus faciles à lire et à vérifier par désactiver les recherches inversées dans sshd_config (UseDNS no). Cela empêchera sshd de consigner les lignes "noise" contenant "TENTATIVE D'INTERRUPTION POSSIBLE", ce qui vous obligera à vous concentrer sur les lignes légèrement plus intéressantes contenant "Utilisateur non valide d'utilisateur de IPADDRESS".


13
2018-04-17 18:23



Quels sont les inconvénients de la désactivation des recherches inversées sshd sur un serveur connecté à Internet public? Y a-t-il des avantages à laisser cette option activée? - Eddie
@ Eddie Je ne pense pas que les recherches DNS effectuées par sshd servent à quelque chose d'utile. Il y a deux bonnes raisons de désactiver les recherches DNS. Les recherches DNS peuvent ralentir la connexion si le délai de recherche est écoulé. Et les messages "TENTATIVE D'INTERRUPTION POSSIBLE" dans le journal sont trompeurs. Tout ce que cela signifie, c’est que le client a un DNS mal configuré. - kasperd
@kasperd UseDNS est nécessaire, si on veut / veut utiliser des noms d’hôtes dans from= directive en authorized_keys des dossiers. - gf_
Je ne suis pas d'accord avec @OlafM - "UseDNS no" indique à sshd de ne pas effectuer de vérification du mappage inversé. Par conséquent, il n'ajoutera aucune ligne contenant "POSSIBLE BREAK-IN ATTEMPT" dans les journaux système. En tant qu'effet secondaire, il peut également accélérer les tentatives de connexion des hôtes qui n'ont pas configuré le DNS inversé correctement. - TimT
Oui, je l’ai fait il y a environ 4 ou 5 ans sous Linux. Il a considérablement raccourci mes journaux et arrêté logcheck me déranger avec des rapports par courriel sans valeur. - TimT


Il n'est pas nécessaire d'avoir une connexion réussie, mais ce qui est écrit "posible" et "tentative".

Un mauvais garçon ou un script kiddie vous envoie du trafic fabriqué avec une fausse adresse IP d'origine.

Vous pouvez ajouter des limitations IP d'origine à vos clés SSH et essayer quelque chose comme fail2ban.


5



Merci. J'ai iptables configuré pour n'autoriser que la connectivité SSH à partir de certaines sources. J'ai aussi fail2ban installé et en cours d'exécution. - Mike B