sshdログについて
ログの場所を理解していますが、ログの内容の意味が常にわかりません。そして、私はそれらが何を意味するかを説明するsshdログに関する包括的なガイドを正確に見つけることができません。
私は特にこの一連のログ試行に関心があります。
Feb 03 01:08:47 malan-server sshd[8110]: Invalid user centos from 193.106.58.90 port 34574
Feb 03 01:08:47 malan-server sshd[8110]: pam_tally(sshd:auth): pam_get_uid; no such user
Feb 03 01:08:47 malan-server sshd[8110]: pam_unix(sshd:auth): check pass; user unknown
Feb 03 01:08:47 malan-server sshd[8110]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=193.106.58.90
Feb 03 01:08:48 malan-server sshd[8110]: Failed password for invalid user centos from 193.106.58.90 port 34574 ssh2
Feb 03 01:08:49 malan-server sshd[8110]: Connection closed by invalid user centos 193.106.58.90 port 34574 [preauth]
Feb 03 01:14:30 malan-server sshd[8114]: Invalid user centos from 193.106.58.90 port 39249
Feb 03 01:14:30 malan-server sshd[8114]: pam_tally(sshd:auth): pam_get_uid; no such user
Feb 03 01:14:30 malan-server sshd[8114]: pam_unix(sshd:auth): check pass; user unknown
Feb 03 01:14:30 malan-server sshd[8114]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=193.106.58.90
Feb 03 01:14:32 malan-server sshd[8114]: Failed password for invalid user centos from 193.106.58.90 port 39249 ssh2
Feb 03 01:14:34 malan-server sshd[8114]: Connection closed by invalid user centos 193.106.58.90 port 39249 [preauth]
Feb 03 01:20:18 malan-server sshd[8118]: Invalid user centos from 193.106.58.90 port 43934
Feb 03 01:20:18 malan-server sshd[8118]: pam_tally(sshd:auth): pam_get_uid; no such user
Feb 03 01:20:18 malan-server sshd[8118]: pam_unix(sshd:auth): check pass; user unknown
Feb 03 01:20:18 malan-server sshd[8118]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=193.106.58.90
Feb 03 01:20:20 malan-server sshd[8118]: Failed password for invalid user centos from 193.106.58.90 port 43934 ssh2
Feb 03 01:20:22 malan-server sshd[8118]: Connection closed by invalid user centos 193.106.58.90 port 43934 [preauth]
Feb 03 01:26:06 malan-server sshd[8121]: Invalid user centos from 193.106.58.90 port 48611
Feb 03 01:26:06 malan-server sshd[8121]: pam_tally(sshd:auth): pam_get_uid; no such user
Feb 03 01:26:06 malan-server sshd[8121]: pam_unix(sshd:auth): check pass; user unknown
Feb 03 01:26:06 malan-server sshd[8121]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=193.106.58.90
Feb 03 01:26:08 malan-server sshd[8121]: Failed password for invalid user centos from 193.106.58.90 port 48611 ssh2
Feb 03 01:26:08 malan-server sshd[8121]: Connection closed by invalid user centos 193.106.58.90 port 48611 [preauth]
その同じIPアドレスからの日はたくさんあります 193.106.58.90 in Kiev、Ukraine 。
恐ろしいログの別のセットは次のとおりです:
Feb 04 19:58:29 malan-server sshd[9725]: Bad protocol version identification 'RFB 003.003' from 142.44.253.51 port 36772
Feb 04 23:47:52 malan-server sshd[9762]: Bad protocol version identification 'REMOTE HI_SRDK_DEV_GetHddInfo MCTP/1.0' from 162.207.145.58 port 48248
Feb 05 06:40:36 malan-server sshd[9836]: Bad protocol version identification 'REMOTE HI_SRDK_DEV_GetHddInfo MCTP/1.0' from 186.4.174.94 port 34515
Feb 05 07:59:13 malan-server sshd[9850]: Bad protocol version identification 'GET / HTTP/1.1' from 209.17.97.34 port 43944
Feb 05 09:09:48 malan-server sshd[9863]: Bad protocol version identification 'REMOTE HI_SRDK_DEV_GetHddInfo MCTP/1.0' from 98.150.93.187 port 60182
Feb 05 14:09:45 malan-server sshd[9911]: Did not receive identification string from 191.232.54.97 port 63982
Feb 05 14:09:45 malan-server sshd[9912]: Bad protocol version identification '\003' from 191.232.54.97 port 64044
Feb 05 14:09:45 malan-server sshd[9913]: Bad protocol version identification '\003' from 191.232.54.97 port 64136
Feb 05 14:33:37 malan-server sshd[9919]: Bad protocol version identification '' from 198.108.67.48 port 56086
これらはどういう意味ですか?
インターネットは、公衆に向けられたIPアドレスが常にボット攻撃にさらされている、非常に悪い、恐ろしい場所であることを理解しています。しかし、ポート9000の接続をサーバーのポート22に転送するようにルーターを構成しているため、ボット攻撃がまだどのように行われているかは完全にはわかりません。それらが65,535の可能なすべてのポートをポートスキャンすることになるとは思えません。
質問のリストを書きます:
- 簡単に推測できるポートを選択しただけですか?何がより良いポート番号でしょうか?
- これらのsshdログのポート番号はどういう意味ですか?ルーターがポート9000をポート22に転送するようにのみ構成されている場合、どのようにしてポート44493にアクセスできますか?私がポート9000を介してのみアクセスするので、リストされているポート番号が外側を向いているコンピューターのポートと同じではないことは明らかですが、自分の外部ログイン用にリストされているポート番号はではない9000。
[preauth]の意味?Bad protocol version identification 'REMOTE HI_SRDK_DEV_GetHddInfo MCTP/1.0' from 162.207.145.58 port 48248の意味?
使用する適切なポートはなく、適切なSSH構成のみです。パスワードベースのログインを無効にし、キーベースの認証のみを許可する場合、このような総当たり攻撃のリスクはあまりありません。ポートノッキングを追加することもできますが、それはあいまいであることによるセキュリティです。
ログの右側にリストされているポート番号は、送信元ポートです。これらは動的に割り当てられ、ターゲットシステムではなくソースシステム上にあります。
[preauth]は、接続が認証される前にログに記録されたイベントが発生したことを意味します—つまりこの場合、認証される前に接続が閉じられます。2番目のログセットのすべてのログは、デーモンに送信された非SSHトラフィックに対応しています。特に非標準ポートでリッスンしているため、これがかなり頻繁に発生することがわかります。さまざまなスキャナーが、相手側で何がリッスンしているかを知らずにリクエストを送信します。
さまざまなポートでインターネットの大部分をスキャンする場合、スキャン元のシステムが適切に接続されている場合、またはボットネット内の侵害されたホストが多数ある場合は、それほど長くはかかりません。マススキャンツールの例については massscan を参照してください。循環している既知のオープンIPアドレスとポートのリストもあります。つまり、1回のスキャンで開いているポート9000を見つけるだけです。
Sshdログの包括的なガイドには不十分ですが、ポイントに対処します。
簡単に推測できるポートを選択しただけですか?何がより良いポート番号でしょうか?
65535個のポートしかなく、スキャナーはそれらを見つけるのに優れています。したがって、最も単純なスキャンを回避するためにポート22を超えて移動すると、任意のポートを別のポートよりも選ぶことには大きなメリットはありません。
これらのsshdログのポート番号はどういう意味ですか?ルーターがポート9000をポート22に転送するようにのみ構成されている場合、どのようにしてポート(43944)にアクセスできますか?私
209.17.97.34 port 43944などのIPの後のポート番号は、その側のカーネルによって任意に選択された可能性が高いソース側のポートを示します。それはあなたにとってほとんど何も意味しません。
[preauth]の意味?
これは「認証前(認証前)」の略です。 sshは段階的に実行され、これは1つです。他にもあります ここU&Lでの同様の質問 。
162.207.145.58ポート48248からの不正なプロトコルバージョン識別「REMOTE HI_SRDK_DEV_GetHddInfo MCTP/1.0」はどういう意味ですか?
クイックGoogle検索により、これが判明しました サーバーログの奇妙なクエリREMOTE HI_SRDK_DEV_GetHddInfo スタックオーバーフロー-これが「機会」を探すスキャナーであるという考えを強化します。
まあ、あなたの悪いプロトコルは、CVE-2015-4464に脆弱なKguard Digital Video Recordersをスキャンしています。デフォルトでたまたまポート9000になっているだけです。
https://dl.packetstormsecurity.net/1506-exploits/kdvr-authorization.txt