4

Я SSH заходил на свой домашний сервер раньше, потому что это занимало странно много времени, чтобы отвечать на запросы HTTP. Я заметил, что приглашение оболочки также работает медленно. Поэтому я набрал top и увидел несколько экземпляров sshd использующих много процессорного времени. Я проверил auth.log, и вот что я увидел:

Jul 16 14:31:56 server sshd[5799]: reverse mapping checking getaddrinfo for 198-136-57-92.static.lvnoc.com [198.136.57.92] failed - POSSIBLE BREAK-IN ATTEMPT!
Jul 16 14:31:56 server sshd[5799]: User root from 198.136.57.92 not allowed because none of user's groups are listed in AllowGroups
Jul 16 14:31:56 server sshd[5799]: input_userauth_request: invalid user root [preauth]
Jul 16 14:31:56 server sshd[5799]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=198.136.57.92  user=root
Jul 16 14:31:59 server sshd[5799]: Failed password for invalid user root from 198.136.57.92 port 54672 ssh2
Jul 16 14:31:59 server sshd[5799]: Received disconnect from 198.136.57.92: 11: Bye Bye [preauth]
Jul 16 14:32:00 server sshd[5802]: reverse mapping checking getaddrinfo for 198-136-57-92.static.lvnoc.com [198.136.57.92] failed - POSSIBLE BREAK-IN ATTEMPT!
Jul 16 14:32:00 server sshd[5802]: User root from 198.136.57.92 not allowed because none of user's groups are listed in AllowGroups
Jul 16 14:32:00 server sshd[5802]: input_userauth_request: invalid user root [preauth]
Jul 16 14:32:00 server sshd[5802]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=198.136.57.92  user=root
Jul 16 14:32:01 server sshd[5802]: Failed password for invalid user root from 198.136.57.92 port 56112 ssh2
Jul 16 14:32:02 server sshd[5802]: Received disconnect from 198.136.57.92: 11: Bye Bye [preauth]
Jul 16 14:32:04 server sshd[5805]: reverse mapping checking getaddrinfo for 198-136-57-92.static.lvnoc.com [198.136.57.92] failed - POSSIBLE BREAK-IN ATTEMPT!
Jul 16 14:32:04 server sshd[5805]: User root from 198.136.57.92 not allowed because none of user's groups are listed in AllowGroups
Jul 16 14:32:04 server sshd[5805]: input_userauth_request: invalid user root [preauth]
Jul 16 14:32:04 server sshd[5805]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=198.136.57.92  user=root
Jul 16 14:32:06 server sshd[5805]: Failed password for invalid user root from 198.136.57.92 port 57176 ssh2
Jul 16 14:32:06 server sshd[5805]: Received disconnect from 198.136.57.92: 11: Bye Bye [preauth]

Обратите внимание на отметки времени слева, чтобы увидеть, как часто это происходит. Согласно журналу, это происходило около получаса, прежде чем я увидел. Излишне говорить, что я заблокировал их IP (198.136.57.92) в hosts.deny , но мне интересно, что именно здесь происходит. Была ли это просто атака типа «отказ в обслуживании», или это была POSSIBLE BREAK-IN ATTEMPT?

|источник

1 ответ1

5

Итак, POSSIBLE BREAK-IN ATTEMPT означает, что обратная зона DNS не установлена правильно для IP-адреса, который пытался подключиться; прямая DNS-запись не соответствует обратной DNS-записи.

Похоже, кто-то пытался заставить ваш сервер использовать SSH.

Я сомневаюсь, что это был DDoS с использованием SSH.

|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .