次の行で多くのログが表示されます。
Nov 7 03:47:41 s1 sshd[23430]: Received disconnect from XX.XXX.XX.XX: 11:
Nov 7 05:08:16 s1 sshd[24474]: Received disconnect from XX.XXX.XX.XX: 11:
Nov 7 06:33:59 s1 sshd[25526]: Received disconnect from XX.XXX.XX.XX: 11:
Nov 7 08:06:33 s1 sshd[26601]: Received disconnect from XX.XXX.XX.XX: 11:
Nov 7 09:24:14 s1 sshd[27460]: Received disconnect from XX.XXX.XX.XX: 11:
Nov 7 10:59:49 s1 sshd[28821]: Received disconnect from XX.XXX.XX.XX: 11:
Nov 7 12:14:39 s1 sshd[29894]: Received disconnect from XX.XXX.XX.XX: 11:
ここでは7行しか貼り付けていませんが、ログファイルには数百行あります。 IPは常に同じです。
これは、サーバーがハッキングされており、攻撃者がログイン情報を登録したログエントリをなんとかクリアしたことを示していると言われました。「切断」メッセージを表示するには、以前と同じIP。 これは本当ですか?
私の質問は:
サーバーはCentOSを実行し、SSHパスワード認証がオフになっています。 「Accepted publickey ...」と書かれた唯一のログは、自分のパブリックIPアドレスからのものです。したがって、攻撃者が本当に痕跡をクリアしていない限り、彼らはその方法でログインしていないと思いますよね?
よろしくお願いします。
それは総当たり攻撃です
これは、ログイン要求を送信して結果をテストすることにより、ログインアクセスを見つけようとする方法です。結果がログインしていない限り、アクセスが許可されるまでログイン/パスワードの別の組み合わせを再試行します。
主にインターネットを目的としています:
この種の攻撃を防ぐには:
今日、ほとんどのシステムツールはこの種の攻撃に対して安全です
カップルのログイン/パスワードのレベルが低い場合を除いて、ハッキングされるとは思いません。このログには、失敗した試み以外は何も書かれていません。
ハッカーがログインした場合、一部のログだけでなく、すべてのログが削除されます(時間がないため、時間がかかりすぎます)。
あなたができること(本当にハッキングされたと本当に思っている場合)は、ログのない期間やログの欠落がないかどうかを確認することです。
お勧めのように、fail2ban
のような攻撃を防ぐためのツールを使用できます
詳細については、メッセージSSH2_DISCONNECT_BY_APPLICATION
は、これがJavaで作成されたボットネットからのゾンビログイン試行であることを意味します
これは、インターネットを閲覧するプローブからの単なる「スパム」です。パスワード認証を許可しなくても危険ではありません。これらのメッセージは、通常、パスワード以外の認証を知らないため、おそらく単なるノイズです。
ノイズを減らすために、いくつかのfail2ban
、fwknop
またはサービスを他のポートに移動します。