GNU/Linux >> Tutoriales Linux >  >> Linux

¡POSIBLE INTENTO DE ROBO! en /var/log/secure, ¿qué significa esto?

Solución 1:

Desafortunadamente, esto ahora es una ocurrencia muy común. Es un ataque automatizado a SSH que utiliza nombres de usuario "comunes" para intentar acceder a su sistema. El mensaje significa exactamente lo que dice, no significa que te hayan pirateado, solo que alguien lo intentó.

Solución 2:

La parte "POSIBLE INTENTO DE INTERRUPCIÓN" específicamente está relacionada con la parte "falló la verificación de mapeo inverso getaddrinfo". Significa que la persona que se estaba conectando no tenía el DNS de avance y retroceso configurado correctamente. Esto es bastante común, especialmente para las conexiones de ISP, que es de donde probablemente provenía el "ataque".

Sin relación con el mensaje "POSIBLE INTENTO DE INTERRUPCIÓN", la persona en realidad está tratando de ingresar utilizando nombres de usuario y contraseñas comunes. No utilice contraseñas simples para SSH; de hecho, la mejor idea es deshabilitar las contraseñas por completo y usar solo claves SSH.

Solución 3:

"¿Qué significa exactamente "POSIBLE INTENTO DE ROBO"?"

Esto significa que el propietario del bloque de red no actualizó el registro PTR para una IP estática dentro de su rango, y dicho registro PTR está desactualizado, O un ISP no configura registros inversos adecuados para sus clientes de IP dinámica. Esto es muy común, incluso para los grandes ISP.

Termina recibiendo el mensaje en su registro porque alguien que proviene de una IP con registros PTR incorrectos (debido a una de las razones anteriores) está tratando de usar nombres de usuario comunes para probar SSH en su servidor (posiblemente ataque de fuerza bruta, o tal vez un error honesto) ).

Para deshabilitar estas alertas, tiene dos opciones:

1) Si tienes una IP estática , agregue su mapeo inverso a su archivo /etc/hosts (vea más información aquí):

10.10.10.10 server.remotehost.com

2) Si tienes una IP dinámica y realmente quiere que esas alertas desaparezcan, comente "GSSAPIAuthentication sí" en su archivo /etc/ssh/sshd_config.

Solución 4:

Puede hacer que sus registros sean más fáciles de leer y verificar desactivando las búsquedas inversas en sshd_config (UseDNS no). Esto evitará que sshd registre las líneas de "ruido" que contienen "POSIBLE INTENTO DE INTERRUPCIÓN", lo que le permite concentrarse en las líneas un poco más interesantes que contienen "Usuario no válido USUARIO de IPADDRESS".

Solución 5:

No es necesario un inicio de sesión exitoso, sino lo que dice "posible" e "intento".

Algún chico malo o script kiddie te está enviando tráfico manipulado con una IP de origen falso.

Puede agregar limitaciones de IP de origen a sus claves SSH e intentar algo como fail2ban.


Linux
  1. ¿Qué significa "-" (doble guión)?

  2. ¿Cómo maneja Linux múltiples separadores de rutas consecutivas (/home////username///file)?

  3. ¿Qué significa esta salida de Xev?

  4. CentOS / RHEL:Cómo rotar el archivo /var/log/wtmp y /var/log/btmp usando logrotate

  5. ¿Qué significa esta advertencia?

¿Diferencia entre /var/log/messages, /var/log/syslog y /var/log/kern.log?

¿Qué significa - en este comando de Linux?

Sintaxis del archivo de configuración logrotate:¿son posibles múltiples entradas comodín?

¿Qué significa la opción sw en /etc/fstab?

¿Deberían vivir los sitios web en /var/ o /usr/ según el uso recomendado?

logrotate no comprime /var/log/messages