web-dev-qa-db-ja.com

このサーバーはハッキングされていますか、それともログイン試行のみですか?ログを見る

これはどういう意味ですか?最後のユーザーログインを確認するためにlastbのようなコマンドを試しましたが、中国からの奇妙なログインがいくつかあります(サーバーはEUですが、私はEUにいます)。これらがログインの試みなのか、それともログインの成功なのかを考えていましたか?

これらは非常に古いようで、通常はポート22を自分のIPのみにロックします。しばらくの間ポートを開いていたと思います。最後のログは7月です。

root     ssh:notty    222.92.89.xx     Sat Jul  9 12:26 - 12:26  (00:00)
root     ssh:notty    222.92.89.xx     Sat Jul  9 12:04 - 12:04  (00:00)
Oracle   ssh:notty    222.92.89.xx     Sat Jul  9 11:43 - 11:43  (00:00)
gary     ssh:notty    222.92.89.xx     Sat Jul  9 11:22 - 11:22  (00:00)
root     ssh:notty    222.92.89.xx     Sat Jul  9 11:01 - 11:01  (00:00)
gt05     ssh:notty    222.92.89.xx     Sat Jul  9 10:40 - 10:40  (00:00)
admin    ssh:notty    222.92.89.xx     Sat Jul  9 10:18 - 10:18  (00:00)
13
adrianTNT

lastbはログインfailuresのみを表示します。成功したログインを確認するには、lastを使用します。

16
Michael Hampton

コンテンツをアップロードまたはダウンロードしようとしている人々を示しています。 "notty"の部分はttyがないことを意味し(ttyはテレタイプの略)、最近ではモニターやGUIがないことを意味し、sshはポート22を示し、まとめてscpやrsyncなどを意味します。

つまり、ハッキングやログインの試みではなく、パスワードの間違いやタイプミスです。一部のコンテンツはグーグル経由で見つけられたかもしれませんが、誰かが推測しようとしたパスワードが必要でした。

実は、振り返ってみると、上記は正しくありません。質問者が疑ったように、sshを介したログイン試行が失敗した可能性があります。そして(私が初めて見逃したように)それらは定期的な21または22分間隔であり、ある程度の自動化を示唆していますが、lastbは定義により失敗を示しているため、これらの結果をlastと比較して、成功したかどうかを確認する必要があります。

6
ramruma

ポート22を閉じます。別のポートで待機するようにsshdを構成し、denyhostsをインストールして実行します。

3
tzakuk

なぜlastを使用しないのですか? 'last'コマンドを使用して、中国または米国外のIPを探してください。

また...男は友達の男ですlasttb

Lastbはlastと同じですが、デフォルトでは/ var/log/btmpファイルのログが表示されますが、これにはすべての不正なログイン試行が含まれています。

2
3.14

はい、同じIPが複数のユーザー名を使用してエントリを試行したため、それらはログイン試行のように見えます。おそらくブルートフォース攻撃です。

これを解決するには:

Fail2Banをインストールし、失敗したログイン試行を-1でブロックすると、禁止が永続的になります。

SSHを保護するためにjailファイルを追加します。 Nanoエディターまたはvi、vimで新しいファイルを作成します。

nano /etc/fail2ban/jail.d/sshd.local

上記のファイルに、次のコード行を追加します。

[sshd]

enabled = true

ポート= ssh

「#」アクション= firewallcmd-ipset

ログパス=%(sshd_log)s

maxretry = 5

bantime = -1

1
Greygan

RE:ラスト

「ssh:notty」/ var/log/btmpエントリは、「/ etc/ssh/sshd_config」で割り当てられたSSHポート番号からのログイン試行の失敗を示します。

セキュリティ上の理由から、SSHポートは通常「22」以外の番号に変更されています。したがって、このコンテキストでの「ssh」は、現在割り当てられている(22以外の)SSHポート番号を意味します。

ログイン画面に到達するには、SSH証明書のハンドシェイクに成功する必要があるため、「ssh:notty」のログエントリは、ログインの失敗に起因する可能性があります。通常、タイプミスしたユーザー名から。ログエントリに関連付けられているIPアドレスに注意してください...それはおそらくあなた自身のものです!

「notty」は「no tty」を意味します。

Linuxサーバーをセットアップして使用する前に、基本的なセキュリティ、その仕組み、ログの場所とログの解釈方法、さまざまな構成ファイルの場所とディレクティブの意味、およびIPTablesの構成方法について学びます。ログインを「静的IPアドレス」に制限し、ログイン試行を制限/再試行します。

ログインを制限し、特定のユーザーとIPアドレスからのログインのみを許可するBASIC SSH構成ディレクティブ:

LoginGraceTime 30
MaxStartups 3:50:10
MaxAuthTries 4
PermitRootLogin no
AllowUsers YourUserName@YourIPAddress
PubkeyAuthentication yes
AuthorizedKeysFile   %h/.ssh/authorized_keys
PasswordAuthentication no

編集後、SSHサービスを「再起動」することを忘れないでください。

特定の静的IPアドレスからのSSH接続のみを許可する基本的なIPTablesルール:

*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW                                 -j DROP
-A INPUT -m state --state INVALID -j DROP
-A INPUT -f -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN FIN,SYN -j DROP
-A INPUT -p tcp -m tcp --tcp-flags SYN,RST SYN,RST -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,RST FIN,RST -j DROP
-A INPUT -p tcp -m tcp --tcp-flags PSH,ACK PSH -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,ACK FIN -j DROP
-A INPUT -p tcp -m tcp --tcp-flags ACK,URG URG -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,PSH,ACK,URG -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,PSH,URG -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,PSH,URG -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,ACK,URG -j DROP
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp -s YourStaticIPAddress -m multiport --dports SSHPortNumber -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
-A INPUT -j DROP
-A FORWARD -j DROP
COMMIT

変更後にIPテーブルを「復元」することを忘れないでください。

LANまたは「ホストされた」クラウド環境では、「プライベート」側(ネットワークアダプター)を保護することを忘れないでください。多くの場合、敵は既にネットワークにアクセスしており、バックドアから侵入します。

RackSpaceやDigitalOceanなどのクラウド環境を使用していて、構成を誤ってロックアウトした場合は、いつでもコンソールからアクセスして修正できます。編集する前に、必ず設定ファイルのコピーを作成してください!!!

0
SandPond