Вопрос: «ВОЗМОЖНОЕ ВОЗВРАТ ВПЕРЕД!» В / var / log / secure - что это значит?


У меня есть платформа CentOS 5.x, работающая на платформе VPS. Мой хост VPS неверно истолковал запрос поддержки, который у меня был о подключении, и эффективно покрасил некоторые правила iptables. Это привело к тому, что ssh прослушивал стандартный порт и подтвердил тесты подключения к порту. Раздражает.

Хорошей новостью является то, что мне нужны авторизированные ключи SSH. Насколько я могу судить, я не думаю, что было какое-то успешное нарушение. Я все еще очень обеспокоен тем, что я вижу в / var / log / secure, хотя:


Apr 10 06:39:27 echo sshd[22297]: reverse mapping checking getaddrinfo for 222-237-78-139.tongkni.co.kr failed - POSSIBLE BREAK-IN ATTEMPT!
Apr 10 13:39:27 echo sshd[22298]: Received disconnect from 222.237.78.139: 11: Bye Bye
Apr 10 06:39:31 echo sshd[22324]: Invalid user edu1 from 222.237.78.139
Apr 10 06:39:31 echo sshd[22324]: reverse mapping checking getaddrinfo for 222-237-78-139.tongkni.co.kr failed - POSSIBLE BREAK-IN ATTEMPT!
Apr 10 13:39:31 echo sshd[22330]: input_userauth_request: invalid user edu1
Apr 10 13:39:31 echo sshd[22330]: Received disconnect from 222.237.78.139: 11: Bye Bye
Apr 10 06:39:35 echo sshd[22336]: Invalid user test1 from 222.237.78.139
Apr 10 06:39:35 echo sshd[22336]: reverse mapping checking getaddrinfo for 222-237-78-139.tongkni.co.kr failed - POSSIBLE BREAK-IN ATTEMPT!
Apr 10 13:39:35 echo sshd[22338]: input_userauth_request: invalid user test1
Apr 10 13:39:35 echo sshd[22338]: Received disconnect from 222.237.78.139: 11: Bye Bye
Apr 10 06:39:39 echo sshd[22377]: Invalid user test from 222.237.78.139
Apr 10 06:39:39 echo sshd[22377]: reverse mapping checking getaddrinfo for 222-237-78-139.tongkni.co.kr failed - POSSIBLE BREAK-IN ATTEMPT!
Apr 10 13:39:39 echo sshd[22378]: input_userauth_request: invalid user test
Apr 10 13:39:39 echo sshd[22378]: Received disconnect from 222.237.78.139: 11: Bye Bye

Что означает «ВОЗМОЖНАЯ ПЕРЕМЕЩЕНИЕ ВПЕРЕДИ»? Что это было успешно? Или что ему не понравился IP-запрос?


86
2018-04-17 18:17


Источник




Ответы:


К сожалению, это сейчас очень распространенное явление. Это автоматическая атака на SSH, которая использует «общие» имена пользователей, чтобы попытаться проникнуть в вашу систему. Сообщение означает то, что он говорит, это не значит, что вы были взломаны, просто кто-то попытался.


75
2018-04-17 22:06



Спасибо, Лэйн. Это заставляет меня чувствовать себя лучше. Я очень рад, что мне нужны авторизированные ключи для ssh. знак равно - Mike B
«проверка обратного сопоставления getaddrinfo для» больше связана с созданием исходного IP / хоста. Один и тот же обработанный трафик пытается использовать плохие имена пользователей, но плохие имена пользователей не генерируют сообщение «ВОЗМОЖНОЕ ВСПОМОГАТЕЛЬНОЕ ВСПОМОГАТЕЛЬСТВО». - poisonbit
@MikeyB: Вы можете посмотреть на добавление fail2ban вам система. Это может быть настроено на автоматическое блокирование IP-адресов этих злоумышленников. - Iain
@poisonbit: ваше право означает, что есть обратный поиск, который затем не в конечном итоге разрешает запись A, но в раунде все это часть одной и той же автоматической атаки. - Iain
Обратите внимание, что «неудачное обратное сопоставление» может просто означать, что ISP пользователя неправильно настроил обратный DNS, что довольно часто. См. Ответ @Gaia. - Wilfred Hughes


В частности, часть «ВОЗМОЖНАЯ ПЕРЕМЕЩАЕМАЯ ВСПОМОГАТЕЛЬНОСТЬ» связана с «неполной обработкой обратного сопоставления». Это означает, что у человека, который подключался, не было правильно настроено прямое и обратное DNS. Это довольно часто, особенно для ISP-соединений, в которых, вероятно, происходит «атака».

Не связанное с сообщением «ВОЗМОЖНОЕ ВОЗВРАЩЕНИЕ ВПЕРЕДИ», человек фактически пытается сломаться с использованием общих имен пользователей и паролей. Не используйте простые пароли для SSH; на самом деле лучшая идея - полностью отключить пароли и использовать только ключи SSH.


48
2017-10-23 20:16



Если он генерируется (действительным) соединением через ISP, вы можете добавить запись в файл / etc / hosts, чтобы избавиться от этой ошибки обратного отображения. Очевидно, вы сделали бы это только в том случае, если бы знали, что ошибка является доброкачественной и вы хотите очистить свои журналы. - artfulrobot


«Что означает« ВОЗМОЖНАЯ ПЕРЕМЕЩЕНИЕ ВПЕРЕДИ »?

Это означает, что владелец netblock не обновил запись PTR для статического IP-адреса в своем диапазоне, и указанная запись PTR устарела, ИЛИ ISP не устанавливает правильные обратные записи для своих динамических клиентов IP. Это очень часто, даже для крупных интернет-провайдеров.

Вы получаете сообщение msg в своем журнале, потому что кто-то из IP-адреса с неправильными записями PTR (по одной из причин выше) пытается использовать общие имена пользователей, чтобы попробовать SSH на вашем сервере (возможно, грубая атака или, может быть, честная ошибка ).

Чтобы отключить эти предупреждения, у вас есть два варианта:

1) Если у вас есть статический IP-адрес, добавьте обратное сопоставление в файл / etc / hosts (подробнее см. Вот):

10.10.10.10 server.remotehost.com

2) Если у вас динамический IP-адрес и действительно хотите, чтобы эти предупреждения исчезли, закомментируйте «GSSAPIAuthentication yes» в файле / etc / ssh / sshd_config.


30
2018-01-12 10:33



комментирование GSSAPIAuthentication не помогает в моем случае ( - SET


Вы можете упростить чтение и проверку журналов выключение обратного просмотра в sshd_config (UseDNS нет). Это предотвратит регистрацию «шумовых» строк sshd, содержащих «ВОЗМОЖНЫЙ ВСПОМОГАТЕЛЬНЫЙ ВСПОМОГАТЕЛЬНЫЙ», чтобы сосредоточиться на несколько более интересных строках, содержащих «Недопустимый пользовательский ПОЛЬЗОВАТЕЛЬ из IPADDRESS».


13
2018-04-17 18:23



Какая минута отключить обратный поиск sshd на сервере, подключенном к общедоступному Интернету? Есть ли какой-либо потенциал, чтобы оставить эту опцию включенной? - Eddie
@Eddie Я не думаю, что поиск DNS, выполняемый sshd, служит любой полезной цели. Есть две веские причины для отключения поиска DNS. DNS-запросы могут замедлять логин, если время ожидания поиска. И сообщения «ВОЗМОЖНЫЕ ВСПОМОГАТЕЛЬНЫЕ ВСПЫШКИ» в журнале вводят в заблуждение. Все это действительно означает, что клиент неправильно настроил DNS. - kasperd
@kasperd UseDNS необходимо, если нужно / хочет использовать имена хостов в from= директивы в authorized_keys файлы. - gf_
«UseDNS no» не приводит к исчезновению сообщений, это позволяет только подключение, не обращая внимания на предупреждение. Они все еще там. - FarO
Я не согласен с @OlafM - «UseDNS no» сообщает sshd, что не выполняет проверку обратного сопоставления, и поэтому он не будет добавлять строки в строку «ВОЗМОЖНОЕ ВСПОМОГАТЕЛЬНОЕ ВСПОМОГАТЕЛЬСТВО» в системные журналы. В качестве побочного эффекта он также может ускорить попытки соединения с хостами, чем неправильно настроить обратный DNS. - TimT


Не обязательно удачный логин, но то, что он говорит «posible» и «попытка».

Некоторый плохой мальчик или сценарий kiddie, отправляет вам обработанный трафик с IP-адресом ложного происхождения.

Вы можете добавить исходные IP-ограничения на свои SSH-ключи и попробовать что-то вроде fail2ban.


5



Благодарю. У меня есть iptables, чтобы разрешить только ssh-подключение из выбранных источников. У меня также установлен и запущен fail2ban. - Mike B