“TENTATIVE D'INTERRUPTION POSSIBLE!” Dans / var / log / secure - qu'est-ce que cela signifie?

96

J'ai une boîte CentOS 5.x fonctionnant sur une plate-forme VPS. Mon hôte VPS a mal interprété une demande d'assistance concernant la connectivité et a effacé efficacement certaines règles iptables. Cela a abouti à ce que ssh écoute le port standard et accuse réception des tests de connectivité du port. Ennuyeux.

La bonne nouvelle est que j'ai besoin de clés SSH Authorized. Autant que je sache, je ne pense pas qu'il y ait eu de violation réussie. Je suis toujours très préoccupé par ce que je vois dans / var / log / secure:

Apr 10 06:39:27 echo sshd[22297]: reverse mapping checking getaddrinfo for 222-237-78-139.tongkni.co.kr failed - POSSIBLE BREAK-IN ATTEMPT!
Apr 10 13:39:27 echo sshd[22298]: Received disconnect from 222.237.78.139: 11: Bye Bye
Apr 10 06:39:31 echo sshd[22324]: Invalid user edu1 from 222.237.78.139
Apr 10 06:39:31 echo sshd[22324]: reverse mapping checking getaddrinfo for 222-237-78-139.tongkni.co.kr failed - POSSIBLE BREAK-IN ATTEMPT!
Apr 10 13:39:31 echo sshd[22330]: input_userauth_request: invalid user edu1
Apr 10 13:39:31 echo sshd[22330]: Received disconnect from 222.237.78.139: 11: Bye Bye
Apr 10 06:39:35 echo sshd[22336]: Invalid user test1 from 222.237.78.139
Apr 10 06:39:35 echo sshd[22336]: reverse mapping checking getaddrinfo for 222-237-78-139.tongkni.co.kr failed - POSSIBLE BREAK-IN ATTEMPT!
Apr 10 13:39:35 echo sshd[22338]: input_userauth_request: invalid user test1
Apr 10 13:39:35 echo sshd[22338]: Received disconnect from 222.237.78.139: 11: Bye Bye
Apr 10 06:39:39 echo sshd[22377]: Invalid user test from 222.237.78.139
Apr 10 06:39:39 echo sshd[22377]: reverse mapping checking getaddrinfo for 222-237-78-139.tongkni.co.kr failed - POSSIBLE BREAK-IN ATTEMPT!
Apr 10 13:39:39 echo sshd[22378]: input_userauth_request: invalid user test
Apr 10 13:39:39 echo sshd[22378]: Received disconnect from 222.237.78.139: 11: Bye Bye

Que signifie exactement "TENTATIVE DE RUPTURE POSSIBLE"? Que c'était réussi? Ou qu'il n'a pas aimé l'adresse IP de la demande?

linux  security  ssh  centos 
Mike B
source

Réponses:

78

Malheureusement, cela est maintenant très fréquent. Il s’agit d’une attaque automatisée sur SSH qui utilise des noms d’utilisateurs «courants» pour tenter de pénétrer dans votre système. Le message signifie exactement ce qu'il dit, cela ne signifie pas que vous avez été piraté, mais que quelqu'un a essayé.

Iain
source
Merci Lain. Cela me fait me sentir mieux. Je suis vraiment content d'avoir besoin de clés autorisées pour SSH. =)
Mike B
28
"Mappage inverse de getaddrinfo pour" concerne davantage l'adresse IP source / le nom d'hôte créé. Le même trafic conçu tente des noms d'utilisateurs incorrects, mais ces noms ne génèrent pas le message "POSSIBLE BREAK-IN ATTEMPT".
poisonbit
11
@MikeyB: Vous voudrez peut-être ajouter Fail2ban à votre système. Cela peut être configuré pour bloquer automatiquement les adresses IP de ces attaquants.
user9517
9
Notez que "l'inversion de mappage a échoué" peut simplement signifier que le FAI de l'utilisateur n'a pas configuré correctement le reverse DNS, ce qui est assez courant. Voir la réponse de @Gaia.
Wilfred Hughes
1
Ceci est inexact, cela signifie simplement que l'inverse du DNS ne correspond pas au nom d'hôte que le client a envoyé pour s'identifier. Il est probablement signalé car il s’agissait peut-être d’une tentative de tentative de tentative d’utilisation .rhostsou d’ .shostsauthentification (je ne l’ai jamais vu utilisé). Des analyses sont effectuées, mais ce n’est pas l’objet de ce message (bien que toute connexion puisse le déclencher) (pour les analyses, il est préférable de rechercher les messages d’auteur / utilisateur inconnu qui ont échoué)
Gert van den Berg
52

La partie "POSSIBILITÉ D'INTERRUPTION", en particulier, est liée à la partie "échec du contrôle de mappage inverse getaddrinfo". Cela signifie que la personne qui se connectait n'avait pas configuré le DNS inversé et inversé correctement. C'est assez courant, surtout pour les connexions ISP, d'où provient probablement "l'attaque".

Indépendamment du message "TENTATIVE D'INTERRUPTION POSSIBLE", la personne tente actuellement de s'introduire par effraction en utilisant des noms d'utilisateur et des mots de passe communs. N'utilisez pas de mots de passe simples pour SSH; En fait, la meilleure idée est de désactiver complètement les mots de passe et d’utiliser les clés SSH uniquement.

Chris S
source
1
S'il est généré par une connexion (valide) via un fournisseur de services Internet, vous pouvez ajouter une entrée à votre fichier / etc / hosts pour supprimer cette erreur de mappage inversé. Évidemment, vous ne le feriez que si vous saviez que l'erreur est bénigne et souhaitez nettoyer vos journaux.
artfulrobot
32

"Que signifie exactement" TENTATIVE DE RUPTURE POSSIBLE "?"

Cela signifie que le propriétaire du bloc réseau n'a pas mis à jour l'enregistrement PTR pour une adresse IP statique dans leur plage, et que cet enregistrement PTR est obsolète OU OU un fournisseur de services Internet ne configure pas les enregistrements inversés appropriés pour ses clients IP dynamiques. Ceci est très courant, même pour les grands FAI.

Vous finissez par avoir le message dans votre journal parce que quelqu'un venant d'une adresse IP avec des enregistrements PTR incorrects (pour l'une des raisons ci-dessus) essaie d'utiliser des noms d'utilisateur courants pour essayer SSH sur votre serveur (éventuellement attaque par force brutale, ou peut-être une erreur honnête ).

Pour désactiver ces alertes, vous avez deux choix:

1) Si vous avez une adresse IP statique , ajoutez votre reverse mapping à votre fichier / etc / hosts (voir plus d’informations ici ):

10.10.10.10 server.remotehost.com

2) Si vous avez une adresse IP dynamique et que vous voulez vraiment faire disparaître ces alertes, commentez le message "GSSAPIAuthentication yes" dans votre fichier / etc / ssh / sshd_config.

Gaia
source
2
les commentaires GSSAPIAuthenticationne m'aident pas dans mon cas (
SET le
UseDNS noest probablement le meilleur réglage pour s'en débarrasser (et des connexions lentes lorsque le serveur a des problèmes de DNS ...)
Gert van den Berg
15

Vous pouvez rendre vos journaux plus faciles à lire et à vérifier en désactivant les recherches inversées dans sshd_config (UseDNS no). Cela empêchera sshd de consigner les lignes "noise" contenant "TENTATIVE D'INTERRUPTION POSSIBLE", ce qui vous obligera à vous concentrer sur les lignes légèrement plus intéressantes contenant "Utilisateur non valide d'utilisateur de IPADDRESS".

TimT
source
4
Quels sont les inconvénients de la désactivation des recherches inversées sshd sur un serveur connecté à Internet public? Y a-t-il des avantages à laisser cette option activée?
Eddie
2
@ Eddie Je ne pense pas que les recherches DNS effectuées par sshd servent à quelque chose d'utile. Il y a deux bonnes raisons de désactiver les recherches DNS. Les recherches DNS peuvent ralentir la connexion si le délai de recherche est écoulé. Et les messages "TENTATIVE D'INTERRUPTION POSSIBLE" dans le journal sont trompeurs. Tout ce que cela signifie, c’est que le client a un DNS mal configuré.
Kasperd
1
Je ne suis pas d'accord @OlafM - "UseDNS no" indique à sshd de ne pas effectuer de vérification du mappage inversé. Par conséquent, il n'ajoutera aucune ligne contenant "POSSIBLE BREAK-IN ATTEMPT" dans les journaux système. En tant qu'effet secondaire, il peut également accélérer les tentatives de connexion des hôtes qui n'ont pas configuré le DNS inversé correctement.
TimT
1
Oui @ OlafM je l'ai fait, il y a environ 4 ou 5 ans sous Linux. Cela a considérablement raccourci mes journaux et cessé de logcheckme déranger avec des rapports par courrier électronique sans valeur.
TimT
1
L’utilisation principale de UseDNSest pour le (mauvaise idée d’utiliser) .rhostset l’ .shostsauthentification ( HostbasedAuthentication). (Et l' Fromoption de correspondance dans la configuration SSHD et registered_keys) (il existe un paramètre HostbasedUsesNameFromPacketOnlyséparé qui pourrait être nécessaire pour passer des recherches inversées pour une autorisation basée sur hôtes également, pire idée que d'utiliser l'authentification par hôtes ...)
Gert van den Berg
5

Il n'est pas nécessaire d'avoir une connexion réussie, mais ce qui est écrit "posible" et "tentative".

Un méchant garçon ou un script kiddie vous envoie du trafic fabriqué avec une fausse adresse IP d'origine.

Vous pouvez ajouter des limitations IP d'origine à vos clés SSH et essayer quelque chose comme fail2ban.

poisonbit
source
2
Merci. J'ai iptables configuré pour n'autoriser que la connectivité SSH à partir de certaines sources. J'ai aussi fail2ban installé et en cours d'exécution.
Mike B
En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.