«ВОЗМОЖНАЯ ПЕРЕМЕЩЕНИЕ ВПЕРЕДИ!» в /var /log /secure - что это значит?

У меня есть платформа CentOS 5.x, работающая на платформе VPS. Мой хост VPS неверно истолковал запрос поддержки, который у меня был о подключении, и эффективно покрасил некоторые правила iptables. Это привело к тому, что ssh прослушивал стандартный порт и подтвердил тесты подключения к порту. Раздражает.

Хорошей новостью является то, что мне нужны авторизированные ключи SSH. Насколько я могу судить, я не думаю, что было какое-то успешное нарушение. Я все еще очень обеспокоен тем, что я вижу в /var /log /secure, хотя:


Apr 10 06:39:27 echo sshd[22297]: reverse mapping checking getaddrinfo for 222-237-78-139.tongkni.co.kr failed - POSSIBLE BREAK-IN ATTEMPT!
Apr 10 13:39:27 echo sshd[22298]: Received disconnect from 222.237.78.139: 11: Bye Bye
Apr 10 06:39:31 echo sshd[22324]: Invalid user edu1 from 222.237.78.139
Apr 10 06:39:31 echo sshd[22324]: reverse mapping checking getaddrinfo for 222-237-78-139.tongkni.co.kr failed - POSSIBLE BREAK-IN ATTEMPT!
Apr 10 13:39:31 echo sshd[22330]: input_userauth_request: invalid user edu1
Apr 10 13:39:31 echo sshd[22330]: Received disconnect from 222.237.78.139: 11: Bye Bye
Apr 10 06:39:35 echo sshd[22336]: Invalid user test1 from 222.237.78.139
Apr 10 06:39:35 echo sshd[22336]: reverse mapping checking getaddrinfo for 222-237-78-139.tongkni.co.kr failed - POSSIBLE BREAK-IN ATTEMPT!
Apr 10 13:39:35 echo sshd[22338]: input_userauth_request: invalid user test1
Apr 10 13:39:35 echo sshd[22338]: Received disconnect from 222.237.78.139: 11: Bye Bye
Apr 10 06:39:39 echo sshd[22377]: Invalid user test from 222.237.78.139
Apr 10 06:39:39 echo sshd[22377]: reverse mapping checking getaddrinfo for 222-237-78-139.tongkni.co.kr failed - POSSIBLE BREAK-IN ATTEMPT!
Apr 10 13:39:39 echo sshd[22378]: input_userauth_request: invalid user test
Apr 10 13:39:39 echo sshd[22378]: Received disconnect from 222.237.78.139: 11: Bye Bye

Что именно означает «ВОЗМОЖНАЯ ПЕРЕМЕЩЕНИЕ ВПЕРЕДИ»? Что это было успешно? Или что ему не понравился IP-запрос?

86 голосов | спросил Mike B 17 PMpSun, 17 Apr 2011 22:17:13 +040017Sunday 2011, 22:17:13

5 ответов


75

К сожалению, это сейчас очень распространенное явление. Это автоматическая атака на SSH, которая использует «общие» имена пользователей, чтобы попытаться проникнуть в вашу систему. Сообщение означает то, что он говорит, это не значит, что вы были взломаны, просто кто-то попробовал.

ответил Khushwant Singh 20 J0000006Europe/Moscow 2013, 03:06:35
48

В частности, часть «ВОЗМОЖНАЯ ПЕРЕМЕЩЕННАЯ ВСПОМОГАТЕЛЬНАЯ», связана с «неполной обработкой обратного сопоставления getaddrinfo». Это означает, что у человека, который подключался, не было правильно настроено прямое и обратное DNS. Это довольно часто, особенно для ISP-соединений, в которых, вероятно, появилась «атака».

Не связанное сообщение «ВОЗМОЖНОЕ ВОЗВРАЩЕНИЕ ВСПОМОГАТЕЛЬНОГО», человек фактически пытается сломаться с использованием общих имен пользователей и паролей. Не используйте простые пароли для SSH; на самом деле лучшая идея - полностью отключить пароли и использовать только ключи SSH.

ответил Chris S 18 AMpMon, 18 Apr 2011 02:06:32 +040006Monday 2011, 02:06:32
30
  

«Что именно означает« ВОЗМОЖНАЯ ПЕРЕМЕЩЕНИЕ ВПЕРЕДИ »?

Это означает, что владелец netblock не обновил запись PTR для статического IP-адреса в своем диапазоне, и указанная запись PTR устарела, ИЛИ , провайдер не настроил правильные обратные записи для своего динамического IP-адреса клиентов. Это очень распространено даже для крупных интернет-провайдеров.

В результате вы получаете сообщение msg в своем журнале, потому что кто-то из IP с неправильными записями PTR (из-за одной из причин выше) пытается использовать общие имена пользователей, чтобы попробовать SSH на вашем сервере (возможно, нападение с использованием bruteforce или, возможно, честная ошибка).

Чтобы отключить эти предупреждения, у вас есть два варианта:

1) Если у вас есть статический IP , добавьте обратное сопоставление в файл /etc /hosts (см. подробнее здесь ):

10.10.10.10 server.remotehost.com

2) Если у вас динамический IP и вы хотите, чтобы эти предупреждения ушли, закомментируйте «GSSAPIAuthentication yes» в файле /etc /ssh /sshd_config.

ответил Gaia 24 +04002012-10-24T00:16:02+04:00312012bEurope/MoscowWed, 24 Oct 2012 00:16:02 +0400 2012, 00:16:02
13

Вы можете сделать ваши журналы более удобными для чтения и проверки по отключить обратные просмотры в sshd_config (UseDNS no). Это предотвратит регистрацию «шумовых» строк sshd, содержащих «ВОЗМОЖНЫЙ ВСПОМОГАТЕЛЬНЫЙ ВСПОМОГАТЕЛЬНЫЙ», чтобы сосредоточиться на несколько более интересных строках, содержащих «Недопустимый пользовательский ПОЛЬЗОВАТЕЛЬ из IPADDRESS».

ответил TimT 12 Jpm1000000pmSat, 12 Jan 2013 14:33:42 +040013 2013, 14:33:42
5

Нет необходимости в успешном входе в систему, но что он говорит «posible» и «попытка».

Некоторый плохой мальчик или сценарий kiddie отправляет вам обработанный трафик с IP-адресом ложного происхождения.

Вы можете добавить исходные IP-ограничения на свои SSH-ключи и попробовать что-то вроде fail2ban.

ответил poisonbit 17 PMpSun, 17 Apr 2011 22:23:41 +040023Sunday 2011, 22:23:41

Похожие вопросы

Популярные теги

security × 330linux × 316macos × 2827 × 268performance × 244command-line × 241sql-server × 235joomla-3.x × 222java × 189c++ × 186windows × 180cisco × 168bash × 158c# × 142gmail × 139arduino-uno × 139javascript × 134ssh × 133seo × 132mysql × 132