/ পোষ্ট / লগ / সুরক্ষিত - "ইতিবাচক BREAK-এটেম্পট!" - এর অর্থ কী?

96

আমার ভিপিএস প্ল্যাটফর্মে চলছে একটি সেন্টোস 5.x বাক্স। আমার ভিপিএস হোস্ট সংযোগ সম্পর্কে আমার কাছে থাকা সহায়তা তদন্তের ভুল ব্যাখ্যা করেছিল এবং কার্যকরভাবে কিছু আইপটেবল বিধিগুলি সরিয়ে দিয়েছিল। এর ফলে স্ট্যান্ডার্ড পোর্টে শোনার এবং পোর্ট সংযোগের পরীক্ষার স্বীকৃতি দেওয়া হয়েছিল। বিরক্তিকর।

সুসংবাদটি হ'ল আমার এসএসএইচ অনুমোদিত কীগুলি দরকার। আমি যতদূর বলতে পারি, আমি মনে করি না কোনও সফল লঙ্ঘন হয়েছে was আমি / ভার / লগ / সুরক্ষিত যা দেখছি সে সম্পর্কে আমি এখনও খুব উদ্বিগ্ন:

Apr 10 06:39:27 echo sshd[22297]: reverse mapping checking getaddrinfo for 222-237-78-139.tongkni.co.kr failed - POSSIBLE BREAK-IN ATTEMPT!
Apr 10 13:39:27 echo sshd[22298]: Received disconnect from 222.237.78.139: 11: Bye Bye
Apr 10 06:39:31 echo sshd[22324]: Invalid user edu1 from 222.237.78.139
Apr 10 06:39:31 echo sshd[22324]: reverse mapping checking getaddrinfo for 222-237-78-139.tongkni.co.kr failed - POSSIBLE BREAK-IN ATTEMPT!
Apr 10 13:39:31 echo sshd[22330]: input_userauth_request: invalid user edu1
Apr 10 13:39:31 echo sshd[22330]: Received disconnect from 222.237.78.139: 11: Bye Bye
Apr 10 06:39:35 echo sshd[22336]: Invalid user test1 from 222.237.78.139
Apr 10 06:39:35 echo sshd[22336]: reverse mapping checking getaddrinfo for 222-237-78-139.tongkni.co.kr failed - POSSIBLE BREAK-IN ATTEMPT!
Apr 10 13:39:35 echo sshd[22338]: input_userauth_request: invalid user test1
Apr 10 13:39:35 echo sshd[22338]: Received disconnect from 222.237.78.139: 11: Bye Bye
Apr 10 06:39:39 echo sshd[22377]: Invalid user test from 222.237.78.139
Apr 10 06:39:39 echo sshd[22377]: reverse mapping checking getaddrinfo for 222-237-78-139.tongkni.co.kr failed - POSSIBLE BREAK-IN ATTEMPT!
Apr 10 13:39:39 echo sshd[22378]: input_userauth_request: invalid user test
Apr 10 13:39:39 echo sshd[22378]: Received disconnect from 222.237.78.139: 11: Bye Bye

"পজিবল BREAK-এটেম্পট" এর অর্থ কী? এটা কি সফল হয়েছিল? অথবা যে আইপিটি অনুরোধটি এসেছিল তা পছন্দ হয়নি?

linux  security  ssh  centos 
মাইক বি
সূত্র

উত্তর:

78

দুর্ভাগ্যক্রমে এটি এখন একটি খুব সাধারণ ঘটনা। এটি এসএসএইচে একটি স্বয়ংক্রিয় আক্রমণ যা আপনার সিস্টেমে চেষ্টা করার জন্য এবং 'সাধারণ' ব্যবহারকারীর নাম ব্যবহার করে। বার্তাটির অর্থ হ'ল এটি যা বলে, এর অর্থ এই নয় যে আপনি হ্যাক হয়েছেন, ঠিক যে কেউ চেষ্টা করেছে।

আয়েন
সূত্র
ধন্যবাদ লাইন আমার মনে ভাল করে তোলে। আমি সত্যই খুশি যে এসএসএসের জন্য আমার অনুমোদিত কীগুলি দরকার। =)
মাইক বি
28
"বিপরীত ম্যাপিং চেকিং getaddrinfo জন্য" উত্স আইপি / হোস্টনাম কারুকৃত সম্পর্কে আরও is একই কারুকৃত ট্র্যাফিক খারাপ ব্যবহারকারীর নাম চেষ্টা করছে, তবে খারাপ ব্যবহারকারীর নামগুলি "পজিবল BREAK-এএনটিএমপিটি" বার্তা উত্পন্ন করে না।
বিষবিত
11
@MikeyB: আপনি যোগ তাকান করতে পারেন fail2ban আপনি সিস্টেম করতে। এই আক্রমণকারীদের আইপি ঠিকানাগুলি স্বয়ংক্রিয়ভাবে ব্লক করতে এটি কনফিগার করা যেতে পারে।
ব্যবহারকারী 9517
9
মনে রাখবেন যে 'রিভার্স ম্যাপিং ব্যর্থ হয়েছে' এর অর্থ সহজভাবে বোঝানো যেতে পারে যে ব্যবহারকারীর আইএসপি বিপরীত ডিএনএস সঠিকভাবে কনফিগার করেনি, যা বেশ সাধারণ। @ গাইয়ার উত্তর দেখুন।
উইলফ্রেড হিউজেস
1
এটি সঠিক নয়, এর অর্থ হ'ল বিপরীত ডিএনএস তাদের সনাক্ত করতে প্রেরিত ক্লায়েন্টের হোস্টনামের সাথে মেলে না। এটি সম্ভবত পতাকাঙ্কিত হয়েছে যেহেতু এটি লোকেদের ব্যবহার .rhostsবা .shostsপ্রমাণীকরণের চেষ্টাতে বিরতি হতে পারে (আমি এটি ব্যবহার কখনও দেখিনি)। স্ক্যানগুলি ঘটে, তবে এই বার্তাটি কী তা নয় (যদিও কোনও সংযোগ এটি ট্রিগার করতে পারে) (স্ক্যানগুলির জন্য, ব্যর্থ লেখক / অজানা ব্যবহারকারী বার্তাগুলি সন্ধান করা আরও ভাল)
গার্ট ভ্যান ডান বার্গ
52

বিশেষত "পজিবল BREAK-ইন এটেম্পটি" অংশটি "রিভার্স ম্যাপিং চেকিং getaddrinfo ব্যর্থ" অংশের সাথে সম্পর্কিত। এর অর্থ হ'ল যে ব্যক্তি সংযুক্ত ছিলেন তার ফরোয়ার্ড এবং বিপরীত ডিএনএস সঠিকভাবে কনফিগার করা হয়নি। এটি বেশ সাধারণ, বিশেষত আইএসপি সংযোগের জন্য, যেখানে সম্ভবত "আক্রমণ" এসেছে।

"পজিবল BREAK-এটেম্পটি" বার্তাটি সম্পর্কিত নয়, ব্যক্তিটি সাধারণ ব্যবহারকারীর নাম এবং পাসওয়ার্ডগুলি ব্যবহার করার চেষ্টা করছে। এসএসএইচের জন্য সহজ পাসওয়ার্ড ব্যবহার করবেন না; আসলে পাসওয়ার্ডগুলি সম্পূর্ণরূপে অক্ষম করা এবং কেবল এসএসএইচ কী ব্যবহার করা ভাল ধারণা।

ক্রিস এস
সূত্র
1
যদি এটি কোনও আইএসপি এর মাধ্যমে (বৈধ) সংযোগ দ্বারা উত্পাদিত হয় তবে আপনি এই বিপরীত ম্যাপিং ত্রুটি থেকে মুক্তি পেতে আপনার / ইত্যাদি / হোস্ট ফাইলটিতে একটি এন্ট্রি যুক্ত করতে পারেন। স্পষ্টতই আপনি কেবল তখনই এটি করতে পারতেন যদি আপনি জানতেন যে ত্রুটিটি সৌম্য এবং আপনার লগগুলি পরিষ্কার করতে চান।
আর্টফুলবোট
32

"" পজিবল BREAK-এটেম্পট "এর অর্থ কী?

এর অর্থ হ'ল নেটব্লক মালিক তাদের সীমার মধ্যে স্ট্যাটিক আইপির জন্য পিটিআর রেকর্ড আপডেট করেনি, এবং বলেছে পিটিআর রেকর্ডটি পুরানো, অথবা কোনও আইএসপি তার গতিশীল আইপি গ্রাহকদের জন্য যথাযথ বিপরীত রেকর্ডস সেটআপ করে না। এটি খুব সাধারণ, এমনকি বড় আইএসপিগুলিতেও।

আপনি আপনার লগতে এই চিত্রটি পেয়ে গেছেন কারণ অন্যায় কোনও পিপিআরআর রেকর্ডযুক্ত আইপি থেকে আগত কেউ (উপরের কোনও কারণে) আপনার সার্ভারে এসএসএইচ চেষ্টা করার জন্য সাধারণ ব্যবহারকারীর নাম ব্যবহার করার চেষ্টা করছে (সম্ভবত ব্রুটফোর্স আক্রমণ, অথবা সম্ভবত কোনও সতত ভুল) )।

এই সতর্কতাগুলি অক্ষম করতে আপনার দুটি পছন্দ আছে:

1) আপনার যদি স্ট্যাটিক আইপি থাকে তবে আপনার / ইত্যাদি / হোস্ট ফাইলগুলিতে আপনার বিপরীত ম্যাপিং যুক্ত করুন ( এখানে আরও তথ্য দেখুন ):

10.10.10.10 server.remotehost.com

২) আপনার যদি ডায়নামিক আইপি থাকে এবং সত্যই এই সতর্কতাগুলি সরিয়ে দিতে চান তবে আপনার / ইত্যাদি / এসএসএস / এসএসডি_কনফিগ ফাইলে "জিএসএসএপিএআইএটিচেন্টিকেশন হ্যাঁ" মন্তব্য করুন।

গাইয়া
সূত্র
2
মন্তব্য GSSAPIAuthenticationআমার ক্ষেত্রে সাহায্য না (
সেট
UseDNS noএ থেকে মুক্তি পাওয়ার জন্য সম্ভবত এটিই ভালতর সেটিংস (এবং সার্ভারের ডিএনএস সমস্যা থাকলে ধীর লগইনগুলির ...)
গার্ট ভ্যান ডান বার্গ
15

আপনি sshd_config (UseDNS নং) এর বিপরীত লুকআপগুলি বন্ধ করে আপনার লগগুলি পড়তে ও পরীক্ষা করতে সহজ করতে পারেন । এটি sshd কে "পজিবল BREAK-এএনটিএমপিটি" সম্বলিত "শোরগোল" লাইনগুলিতে লগ করা থেকে বিরত রাখবে আপনাকে "আইপিএডড্রেস থেকে অবৈধ ব্যবহারকারীর ব্যবহারকারী" যুক্ত কিছুটা আকর্ষণীয় লাইনে মনোনিবেশ করতে ছাড়বে leaving

TimT
সূত্র
4
পাবলিক ইন্টারনেটের সাথে সংযুক্ত কোনও সার্ভারে sshd বিপরীত চেহারাগুলি নিষ্ক্রিয় করার খারাপ দিকটি কী? এই বিকল্পটি সক্ষম করে রেখে কি কোনও উত্সাহ আছে?
এডি
2
@ এডি আমি মনে করি না যে এসএসডি দ্বারা সম্পাদিত ডিএনএস লুপগুলি কোনও কার্যকর উদ্দেশ্য সাধন করে। ডিএনএস লুকআপ অক্ষম করার দুটি ভাল কারণ রয়েছে। ডিএনএসের লুকআপগুলি লগইনকে ধীর করতে পারে যদি লুক্কুলের সময় শেষ হয়। এবং লগের "পজিবল BREAK-এএনটিএমপিটি" বার্তাগুলি বিভ্রান্তিকর। সমস্ত বার্তাটির সত্যিকারের অর্থ হ'ল ক্লায়েন্টটির ডিএনএসের ভুল কনফিগারেশন রয়েছে।
কাস্পার্ড
1
আমি @ ওএলএফএম-এর সাথে একমত নই - "UseDNS no" sshd কে বিপরীত ম্যাপিং চেক না সম্পাদন করতে বলে এবং সুতরাং এটি সিস্টেম লগগুলিতে "পজিবল BREAK-IN ATTEMPT" যুক্ত কোনও লাইন যুক্ত করবে না। পার্শ্ব-প্রতিক্রিয়া হিসাবে এটি বিপরীত ডিএনএস সঠিকভাবে কনফিগার করা না থেকে হোস্টের কাছ থেকে সংযোগের প্রচেষ্টাগুলিকে গতি বাড়িয়ে দিতে পারে।
টিমটি
1
হ্যাঁ @ ওলাফএম আমি প্রায় 4-5 বছর আগে লিনাক্সে করেছিলাম। এটি আমার লগগুলি যথেষ্ট সংক্ষিপ্ত করে এবং logcheckঅযৌক্তিক ইমেল প্রতিবেদনগুলির সাথে আমাকে বগিং বন্ধ করে দেয় ।
টিমটি
1
এর প্রধান ব্যবহার UseDNSহ'ল (ব্যবহার করার জন্য খারাপ ধারণা) .rhostsএবং .shostsপ্রমাণীকরণ ( HostbasedAuthentication)। (এবং Fromsshd কনফিগ ও authorized_keys ম্যাচ বিকল্প) (একটা পৃথক সেটিং HostbasedUsesNameFromPacketOnlyযদিও যা প্রমাণীকরণ পাশাপাশি ভিত্তিক হোস্টের জন্য বিপরীত লুক-এর স্যুইচ করতে প্রয়োজন হতে পারে, Hostsbasedauthentication ... ব্যবহার চেয়েও খারাপ ধারণা)
গার্টি ভ্যান ডেন বার্গ
5

এটি সফল লগইনের প্রয়োজন হয় না, তবে এটি "পজেবল" এবং "প্রচেষ্টা" কী বলে।

কিছু খারাপ ছেলে বা স্ক্রিপ্ট কিডি, আপনাকে মিথ্যা উত্সের আইপি দিয়ে ট্র্যাফিক ট্র্যাফিক পাঠাচ্ছে।

আপনি আপনার এসএসএইচ কীগুলিতে মূল আইপি সীমাবদ্ধতাগুলি যুক্ত করতে পারেন এবং ব্যর্থ 2ban এর মতো কিছু চেষ্টা করতে পারেন।

poisonbit
সূত্র
2
ধন্যবাদ। আমার কাছে iptables সেটগুলি কেবলমাত্র নির্বাচিত উত্সগুলি থেকে ssh সংযোগের অনুমতি দেওয়ার জন্য সেট করা আছে। আমি ব্যর্থ 2ban ইনস্টল এবং চলমান আছে।
মাইক বি
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.