疑わしいsshログエントリ(「匿名の場合は受け入れられません」)
私は自分のサーバーでこのログエントリチェーン(および同様の繰り返し)を取得しました:
Nov 24 07:38:59 server sshd[28676]: SSH: Server;Ltype: Version;Remote: 54.38.81.12-40482;Protocol: 2.0;Client: OpenSSH_7.2p2 Ubuntu-4ubuntu2.4
Nov 24 07:38:59 server sshd[28676]: SSH: Server;Ltype: Kex;Remote: 54.38.81.12-40482;Enc: aes128-cbc;MAC: [email protected];Comp: none [preauth]
Nov 24 07:39:00 server sshd[28676]: SSH: Server;Ltype: Authname;Remote: 54.38.81.12-40482;Name: anonymous [preauth]
Nov 24 07:39:00 server sshd[28676]: Accepted none for anonymous from 54.38.81.12 port 40482 ssh2
Nov 24 07:39:01 server sshd[28681]: refused local port forward: originator 127.0.0.1 port 46338, target 167.114.159.146 port 80
Nov 24 07:39:01 server sshd[28681]: refused local port forward: originator 127.0.0.1 port 47552, target 167.114.159.146 port 80
...
Nov 24 07:39:19 server sshd[28681]: Disconnected from 54.38.81.12
これはハッキング攻撃だったと確信していますが、成功したかどうかを確認するにはどうすればよいですか?特に不明確なのは、「匿名の場合は受け入れられません」というメッセージです。 anonymousという名前のユーザーアカウントがあり、パスワードなしでログインでき、ハッカーがanonymousとしてログインし、いくつかのローカルポートを転送しようとしたことを意味しますか? (そして、正常に転送されたためにログに記録されなかったものがあるかもしれません)?
ローカルネットワーク(ssh anonymous@server)から標準的な方法で匿名としてログインしようとしましたが、許可が拒否されましたメッセージが表示されました。
ハッキングされていない場合、この種の攻撃からどのように保護しますか?すでにインストールされていますfail2ban他の疑わしいログエントリのためですが、これはインストール後に発生しました。
編集1:
/etc/ssh/sshd_configファイルを確認したところ、PermitEmptyPasswordsがnoに設定されていることがわかりました。だからそれは大丈夫なはずです。
編集2:
/procファイルシステムの経験はありませんが、これが私が発見したことです。
user@server:~$ Sudo file /proc/5931/exe
/proc/5931/exe: broken symbolic link to /usr/bin/sshd
user@server:~$ Sudo which sshd
/usr/sbin/sshd
OK、fileユーティリティはそれが壊れたシンボリックリンクだと言っていますが、Sudo hexdump /proc/5931/exeを試してみるとデータが得られます。それは正常ですか?
編集3:
これで、理由がわかりました編集2。 2つのシステムを混在させます。 SynologyNASでchrootされたDebianStretchを実行します。そして、/ procファイルシステムにはそのDebianとSynologyDSMの両方からのプロセスがあります。各システムには、sshd実行可能ファイルの別の場所があります。
編集4:
これはless /proc/*/cmdlineが示すものです:
/usr/bin/sshd^@
sshd: user [priv]
sshd: user@pts/4^@
/usr/sbin/sshd^@
sshd: user [priv]
sshd: user@pts/3^@
編集5:
ここに表示されているのは、疑わしいログインそのものではないことを私は知っています。 (userを私のユーザー名に置き換えます(その出力は完全に匿名化されます)。)問題は、anonymousユーザーがログインしている間にプロセスをキャッチする必要があることです。彼は突然切断します。そのため、プロセスをライブで見ることはできません。 anonymousユーザーログインに反応できるようにトラップを偽造するにはどうすればよいですか?
ユーザーanonymousがSynologyDSMシステムにのみ存在することに気づきました。 DSMシステムからのログがchrootされたDebianにも書き込まれる可能性はありますか?そのユーザーはftpグループに属しているが、ユーザーはそこにとどまっているため、FTPおよびSFTPサービスを無効にしようとしました。 DSMシステムにはpasswdコマンドもusermodコマンドもないため、そのユーザーのアクセスを無効にする方法がわかりません。 anonymousシェルが/sbin/nologinに設定されているため、SSH経由でログインしてポート転送を試みることさえできないはずです。
編集6:
SynologyDSMシステムのSSH構成を調べました。さて、私が変更したいくつかの設定がありました:
#PermitEmptyPasswords no->コメントなし
# allow the use of the none cipher
#NoneEnabled no # uncommented
Edit 6は問題を解決したようです(少なくともそのような種類の攻撃ログは消えました):
SynologyDSMシステムのSSH構成を調べました。さて、私が変更したいくつかの設定がありました:
#PermitEmptyPasswords no->コメントなし# allow the use of the none cipher #NoneEnabled no # uncommented