Ce serveur est-il piraté ou juste des tentatives de connexion? Voir le journal
Quelqu'un peut-il dire ce que signifie cela signifie? J'ai essayé une commande comme lastb pour voir les dernières connexions utilisateur et je vois des connexions étranges en provenance de Chine (Server est UE, je suis dans l'UE). Je me demandais si celles-ci pouvaient être des tentatives de connexion ou des connexions réussies?
Celles-ci semblent être très anciennes et, généralement, je verrouillais le port 22 à mes IP uniquement, je pense que j'avais le port ouvert pendant un moment, le dernier journal est en juillet.
root ssh:notty 222.92.89.xx Sat Jul 9 12:26 - 12:26 (00:00)
root ssh:notty 222.92.89.xx Sat Jul 9 12:04 - 12:04 (00:00)
Oracle ssh:notty 222.92.89.xx Sat Jul 9 11:43 - 11:43 (00:00)
gary ssh:notty 222.92.89.xx Sat Jul 9 11:22 - 11:22 (00:00)
root ssh:notty 222.92.89.xx Sat Jul 9 11:01 - 11:01 (00:00)
gt05 ssh:notty 222.92.89.xx Sat Jul 9 10:40 - 10:40 (00:00)
admin ssh:notty 222.92.89.xx Sat Jul 9 10:18 - 10:18 (00:00)
lastb _ Affiche uniquement la connexion échecs. Utilisez last pour voir des connexions performantes.
Il montre aux gens qui essaient de télécharger ou de télécharger du contenu. La partie "Notty" ne signifie pas TTY (où TTY est court pour TELETYPE) que ces jours-ci ne signifie pas de moniteur ou d'interface graphique, et le SSH indique le port 22, qui a pris ensemble quelque chose comme SCP ou RSYNC.
Donc, ne pas pirater ou vous connecter des tentatives, mais des mots de passe mal ou mis en erreur. Cela pourrait être un peu de contenu était situé via Google, mais nécessitait un mot de passe que quelqu'un a essayé de deviner.
En fait, à la réflexion, ce qui précède n'est pas correct. Ils pourraient avoir échoué les tentatives de connexion via SSH, car le questionneur soupçonné; et (comme j'ai raté la première fois), ils sont à des intervalles réguliers de 21 ou 22 minutes qui suggèrent un degré d'automatisation, mais lastb montre des échecs par définition, ces résultats devraient donc être comparés contre last Pour voir si tout a été réussi.
Fermer le port 22. Configurez votre RSHD pour écouter sur un port différent et installer et exécuter DenyHosts.
Pourquoi n'utiliser pas dernier ?? Veuillez utiliser la commande "Dernière", et recherchez IP de Chine ou à l'extérieur des États-Unis.
Aussi ... homme est ton ami homme lasttb
LastB est le même que celui que le dernier, sauf que, par défaut, il affiche un journal du fichier/var/log/BTMP, qui contient toutes les mauvaises tentatives de connexion.
Re: lastb
"SSH: NOTTY"/var/log/BTMP Les entrées indiquent l'échec des tentatives de connexion du numéro de port SSH attribué dans "/ etc/ssh/sshd_config".
Pour des raisons de sécurité, le port SSH aura généralement été changé en un numéro autre que "22". Donc, "ssh", dans ce contexte, signifie simplement le numéro de port SSH actuellement attribué (non-22).
Étant donné qu'une poignée de main de certificats SSH réussie doit toujours être nécessaire pour atteindre l'écran de connexion, les entrées de journal "SSH: NOTTY NOTTY" résultent probablement de vos propres tentatives de connexion infructueuses; Habituellement d'un nom d'utilisateur mal saisi. Notez l'adresse IP associée à l'entrée de journal ... C'est probablement le vôtre!
"NOTTY" signifie "NO TTY".
Apprenez la sécurité de base, comment cela fonctionne, où les journaux sont et comment les interpréter, et où les différents fichiers de configuration sont et quelles sont les directives et comment configurer IPTABLES, avant de configurer et d'utiliser un serveur Linux. Restreindre les connexions à une "adresse IP statique" et limite/restrice de connexion
Directives de base de la configuration SSH de base qui limitent les connexions et permettent uniquement de connecter des utilisateurs particuliers et des adresses IP:
LoginGraceTime 30
MaxStartups 3:50:10
MaxAuthTries 4
PermitRootLogin no
AllowUsers YourUserName@YourIPAddress
PubkeyAuthentication yes
AuthorizedKeysFile %h/.ssh/authorized_keys
PasswordAuthentication no
N'oubliez pas de "redémarrer" le service SSH après l'édition.
Règles d'IPTABLES de base qui n'autorisent que les connexions SSH à partir d'une adresse IP statique particulière:
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j DROP
-A INPUT -m state --state INVALID -j DROP
-A INPUT -f -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN FIN,SYN -j DROP
-A INPUT -p tcp -m tcp --tcp-flags SYN,RST SYN,RST -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,RST FIN,RST -j DROP
-A INPUT -p tcp -m tcp --tcp-flags PSH,ACK PSH -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,ACK FIN -j DROP
-A INPUT -p tcp -m tcp --tcp-flags ACK,URG URG -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,PSH,ACK,URG -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,PSH,URG -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,PSH,URG -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,ACK,URG -j DROP
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp -s YourStaticIPAddress -m multiport --dports SSHPortNumber -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
-A INPUT -j DROP
-A FORWARD -j DROP
COMMIT
N'oubliez pas de "restaurer" les tables IP après des modifications.
Sur un réseau local, ou dans un environnement nuageux "hébergé", n'oubliez pas de sécuriser le côté "Private" (adaptateur réseau). Vos ennemis ont souvent déjà accès à votre réseau et entrent à travers la porte arrière.
Si vous êtes dans un environnement nuageux tel que Rackspace ou DigitalOcean, et vous encadrez les configurations et verrouillez-vous, vous pouvez toujours passer à travers la console et le réparer. Faites toujours des copies de fichiers de configuration avant de les modifier !!!