Apakah server ini diretas atau hanya upaya masuk? Lihat log

13

Adakah yang bisa mengatakan apa artinya ini? Saya mencoba perintah ingin lastbmelihat login pengguna terakhir dan saya melihat beberapa login aneh dari Cina (server adalah UE, saya di UE). Saya bertanya-tanya apakah ini bisa menjadi upaya login atau login berhasil?

Ini tampaknya sudah sangat tua dan biasanya saya mengunci port 22 hanya untuk IP saya, saya pikir saya memiliki port terbuka untuk sementara waktu, log terakhir adalah pada bulan Juli.

root     ssh:notty    222.92.89.xx     Sat Jul  9 12:26 - 12:26  (00:00)
root     ssh:notty    222.92.89.xx     Sat Jul  9 12:04 - 12:04  (00:00)
oracle   ssh:notty    222.92.89.xx     Sat Jul  9 11:43 - 11:43  (00:00)
gary     ssh:notty    222.92.89.xx     Sat Jul  9 11:22 - 11:22  (00:00)
root     ssh:notty    222.92.89.xx     Sat Jul  9 11:01 - 11:01  (00:00)
gt05     ssh:notty    222.92.89.xx     Sat Jul  9 10:40 - 10:40  (00:00)
admin    ssh:notty    222.92.89.xx     Sat Jul  9 10:18 - 10:18  (00:00)
ssh  log-files  login  hacking 
adrianTNT
sumber
1
Apakah Anda melihat nama-nama ini bersama dengan IP di / var / log / auth juga?
ott--

Jawaban:

16

lastbhanya menunjukkan kegagalan login . Gunakan lastuntuk melihat login yang berhasil.

Michael Hampton
sumber
6

Ini menunjukkan orang yang mencoba mengunggah atau mengunduh konten. Bagian "notty" berarti no tty (di mana tty adalah kependekan dari teletype) yang hari ini berarti tidak ada monitor atau gui, dan ssh menunjukkan port 22, yang secara bersama-sama berarti sesuatu seperti scp atau rsync.

Jadi bukan upaya meretas atau masuk, melainkan kata sandi yang salah atau salah ketik. Mungkin ada beberapa konten yang ditemukan melalui google, tetapi diperlukan kata sandi yang seseorang coba tebak.

Sebenarnya, pada refleksi, hal di atas tidak benar. Mereka bisa menjadi upaya login gagal melalui ssh, seperti yang ditanyakan si penanya; dan (seperti yang saya lewatkan pertama kali) mereka berada pada interval reguler 21 atau 22 menit yang menunjukkan tingkat otomatisasi, tetapi lastbmenunjukkan kegagalan menurut definisi, sehingga hasil ini perlu dibandingkan dengan lastuntuk melihat apakah ada yang berhasil.

ramruma
sumber
3

Tutup port 22. Konfigurasikan sshd Anda untuk mendengarkan pada port yang berbeda, dan instal dan jalankan denyhosts.

tzakuk
sumber
2

Mengapa tidak menggunakan yang terakhir ?? Silakan gunakan perintah 'terakhir', dan cari ips dari Cina atau di luar usa.

Juga ... pria adalah teman pria Anda lasttb

Lastb sama dengan yang terakhir, kecuali bahwa secara default ini menunjukkan log dari file / var / log / btmp, yang berisi semua upaya login yang buruk.

3.14
sumber
1

Ya itu tampaknya merupakan upaya login karena IP yang sama menggunakan beberapa nama pengguna untuk mencoba masuk. Kemungkinan besar serangan Brute Force.

Untuk mengatasi ini:

Instal Fail2Ban dan blokir upaya login yang gagal dengan -1 ini menjadikan larangan mereka permanen.

Tambahkan file penjara untuk melindungi SSH. Buat file baru dengan editor Nano atau vi, vim

nano /etc/fail2ban/jail.d/sshd.local

Untuk file di atas, tambahkan baris kode berikut.

[sshd]

diaktifkan = benar

port = ssh

"#" action = firewallcmd-ipset

logpath =% (sshd_log) s

maxretry = 5

bantime = -1

Greygan
sumber
0

RE: lastb

"ssh: notty" / var / log / btmp entri menunjukkan usaha login yang gagal dari nomor port SSH yang ditetapkan dalam "/ etc / ssh / sshd_config".

Untuk alasan keamanan, port SSH biasanya akan diubah ke nomor selain "22". Jadi, "ssh", dalam konteks ini, hanya berarti nomor port SSH yang saat ini ditetapkan (non-22).

Karena handshake sertifikat SSH yang sukses HARUS selalu diminta untuk mencapai layar login, setiap entri log "ssh: notty" kemungkinan hasil dari upaya login Anda yang gagal; biasanya dari nama pengguna yang salah ketik. Catat alamat IP yang terkait dengan entri log ... mungkin itu milik Anda sendiri!

"notty" berarti "no tty".

Pelajari keamanan dasar, cara kerjanya, di mana log berada dan bagaimana menafsirkannya, dan di mana berbagai file konfigurasi dan apa arti arahan, dan cara mengkonfigurasi IPTable, sebelum Anda mengatur dan menggunakan server Linux. Batasi login ke "alamat IP statis" dan batas / coba ulang upaya login:

Arahan konfigurasi SSH DASAR yang membatasi login dan hanya mengizinkan login dari pengguna dan alamat IP tertentu:

LoginGraceTime 30
MaxStartups 3:50:10
MaxAuthTries 4
PermitRootLogin no
AllowUsers YourUserName@YourIPAddress
PubkeyAuthentication yes
AuthorizedKeysFile   %h/.ssh/authorized_keys
PasswordAuthentication no

Jangan lupa untuk "memulai kembali" layanan SSH setelah diedit.

Aturan BASIC IPTables yang hanya mengizinkan koneksi SSH dari alamat IP statis tertentu:

*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW                                 -j DROP
-A INPUT -m state --state INVALID -j DROP
-A INPUT -f -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN FIN,SYN -j DROP
-A INPUT -p tcp -m tcp --tcp-flags SYN,RST SYN,RST -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,RST FIN,RST -j DROP
-A INPUT -p tcp -m tcp --tcp-flags PSH,ACK PSH -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,ACK FIN -j DROP
-A INPUT -p tcp -m tcp --tcp-flags ACK,URG URG -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,PSH,ACK,URG -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,PSH,URG -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,PSH,URG -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,ACK,URG -j DROP
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp -s YourStaticIPAddress -m multiport --dports SSHPortNumber -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
-A INPUT -j DROP
-A FORWARD -j DROP
COMMIT

Jangan lupa "mengembalikan" tabel IP setelah perubahan.

Pada LAN, atau dalam lingkungan cloud "yang dihosting", jangan lupa untuk mengamankan sisi "pribadi" (adaptor jaringan). Musuh Anda sering sudah memiliki akses ke jaringan Anda dan masuk melalui pintu belakang.

Jika Anda berada di lingkungan cloud seperti RackSpace atau DigitalOcean, dan Anda mengacaukan konfigurasi dan mengunci diri, Anda selalu bisa masuk melalui konsol dan memperbaikinya. SELALU MEMBUAT SALINAN DARI CONFIG FILES SEBELUM MENGEDIT mereka !!!

SandPond
sumber
Dengan menggunakan situs kami, Anda mengakui telah membaca dan memahami Kebijakan Cookie dan Kebijakan Privasi kami.
Licensed under cc by-sa 3.0 with attribution required.