web-dev-qa-db-ja.com

ログ:「受け入れられた」対応なしの「からの受信切断...」

次の行で多くのログが表示されます。

Nov  7 03:47:41 s1 sshd[23430]: Received disconnect from XX.XXX.XX.XX: 11:
Nov  7 05:08:16 s1 sshd[24474]: Received disconnect from XX.XXX.XX.XX: 11:
Nov  7 06:33:59 s1 sshd[25526]: Received disconnect from XX.XXX.XX.XX: 11:
Nov  7 08:06:33 s1 sshd[26601]: Received disconnect from XX.XXX.XX.XX: 11:
Nov  7 09:24:14 s1 sshd[27460]: Received disconnect from XX.XXX.XX.XX: 11:
Nov  7 10:59:49 s1 sshd[28821]: Received disconnect from XX.XXX.XX.XX: 11:
Nov  7 12:14:39 s1 sshd[29894]: Received disconnect from XX.XXX.XX.XX: 11:

ここでは7行しか貼り付けていませんが、ログファイルには数百行あります。 IPは常に同じです。

これは、サーバーがハッキングされており、攻撃者がログイン情報を登録したログエントリをなんとかクリアしたことを示していると言われました。「切断」メッセージを表示するには、以前と同じIP。 これは本当ですか?

私の質問は:

  • これらのログから、サーバーが本当にハッキングされたと結論付けることができますか?
  • このメッセージはどういう意味ですか?私は:11が「SSH2_DISCONNECT_BY_APPLICATION」を意味することをどこかで読みましたが、それが本当に何を意味するのか理解できません。

サーバーはCentOSを実行し、SSHパスワード認証がオフになっています。 「Accepted publickey ...」と書かれた唯一のログは、自分のパブリックIPアドレスからのものです。したがって、攻撃者が本当に痕跡をクリアしていない限り、彼らはその方法でログインしていないと思いますよね?

よろしくお願いします。

5
Robson Junior

それは総当たり攻撃です

これは、ログイン要求を送信して結果をテストすることにより、ログインアクセスを見つけようとする方法です。結果がログインしていない限り、アクセスが許可されるまでログイン/パスワードの別の組み合わせを再試行します。

主にインターネットを目的としています:

  • FTP(通常はポート21)
  • SSH(通常はポート22)
  • TS(通常はポート3389)
  • Webサイトのログインページ(通常はポート80および443)

この種の攻撃を防ぐには:

  • (可能であれば)デフォルトのポートを変更する
  • 複雑なパスワードを持っている
  • 基本ログイン名(admin/root/administrator、...)の使用を回避しようとしています
  • 「失敗試行」テンポライザーがあると、適切なログイン/パスワードの組み合わせを見つけるのに時間がかかりすぎます。

今日、ほとんどのシステムツールはこの種の攻撃に対して安全です

カップルのログイン/パスワードのレベルが低い場合を除いて、ハッキングされるとは思いません。このログには、失敗した試み以外は何も書かれていません。

ハッカーがログインした場合、一部のログだけでなく、すべてのログが削除されます(時間がないため、時間がかかりすぎます)。

あなたができること(本当にハッキングされたと本当に思っている場合)は、ログのない期間やログの欠落がないかどうかを確認することです。

お勧めのように、fail2banのような攻撃を防ぐためのツールを使用できます

詳細については、メッセージSSH2_DISCONNECT_BY_APPLICATIONは、これがJavaで作成されたボットネットからのゾンビログイン試行であることを意味します

5
Froggiz

これは、インターネットを閲覧するプローブからの単なる「スパム」です。パスワード認証を許可しなくても危険ではありません。これらのメッセージは、通常、パスワード以外の認証を知らないため、おそらく単なるノイズです。

ノイズを減らすために、いくつかのfail2banfwknopまたはサービスを他のポートに移動します。

1
Jakuje