SSHD 로그 이해

tag-icon tag-icon ssh logs
SSHD 로그 이해

로그를 어디서 찾을 수 있는지 알고 있지만 로그가 무엇인지 항상 확신할 수는 없습니다.의미는. sshd 로그의 의미를 설명하는 포괄적인 가이드를 찾을 수 없습니다.

나는 특히 다음과 같은 일련의 로그 시도에 대해 우려하고 있습니다.

Feb 03 01:08:47 malan-server sshd[8110]: Invalid user centos from 193.106.58.90 port 34574
Feb 03 01:08:47 malan-server sshd[8110]: pam_tally(sshd:auth): pam_get_uid; no such user
Feb 03 01:08:47 malan-server sshd[8110]: pam_unix(sshd:auth): check pass; user unknown
Feb 03 01:08:47 malan-server sshd[8110]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=193.106.58.90
Feb 03 01:08:48 malan-server sshd[8110]: Failed password for invalid user centos from 193.106.58.90 port 34574 ssh2
Feb 03 01:08:49 malan-server sshd[8110]: Connection closed by invalid user centos 193.106.58.90 port 34574 [preauth]
Feb 03 01:14:30 malan-server sshd[8114]: Invalid user centos from 193.106.58.90 port 39249
Feb 03 01:14:30 malan-server sshd[8114]: pam_tally(sshd:auth): pam_get_uid; no such user
Feb 03 01:14:30 malan-server sshd[8114]: pam_unix(sshd:auth): check pass; user unknown
Feb 03 01:14:30 malan-server sshd[8114]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=193.106.58.90
Feb 03 01:14:32 malan-server sshd[8114]: Failed password for invalid user centos from 193.106.58.90 port 39249 ssh2
Feb 03 01:14:34 malan-server sshd[8114]: Connection closed by invalid user centos 193.106.58.90 port 39249 [preauth]
Feb 03 01:20:18 malan-server sshd[8118]: Invalid user centos from 193.106.58.90 port 43934
Feb 03 01:20:18 malan-server sshd[8118]: pam_tally(sshd:auth): pam_get_uid; no such user
Feb 03 01:20:18 malan-server sshd[8118]: pam_unix(sshd:auth): check pass; user unknown
Feb 03 01:20:18 malan-server sshd[8118]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=193.106.58.90
Feb 03 01:20:20 malan-server sshd[8118]: Failed password for invalid user centos from 193.106.58.90 port 43934 ssh2
Feb 03 01:20:22 malan-server sshd[8118]: Connection closed by invalid user centos 193.106.58.90 port 43934 [preauth]
Feb 03 01:26:06 malan-server sshd[8121]: Invalid user centos from 193.106.58.90 port 48611
Feb 03 01:26:06 malan-server sshd[8121]: pam_tally(sshd:auth): pam_get_uid; no such user
Feb 03 01:26:06 malan-server sshd[8121]: pam_unix(sshd:auth): check pass; user unknown
Feb 03 01:26:06 malan-server sshd[8121]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=193.106.58.90
Feb 03 01:26:08 malan-server sshd[8121]: Failed password for invalid user centos from 193.106.58.90 port 48611 ssh2
Feb 03 01:26:08 malan-server sshd[8121]: Connection closed by invalid user centos 193.106.58.90 port 48611 [preauth]

그날 같은 IP 주소에서 많은 사람들이 있었고,193.106.58.90우크라이나 키예프에 위치한.

끔찍해 보이는 또 다른 로그 세트는 다음과 같습니다.

Feb 04 19:58:29 malan-server sshd[9725]: Bad protocol version identification 'RFB 003.003' from 142.44.253.51 port 36772
Feb 04 23:47:52 malan-server sshd[9762]: Bad protocol version identification 'REMOTE HI_SRDK_DEV_GetHddInfo MCTP/1.0' from 162.207.145.58 port 48248
Feb 05 06:40:36 malan-server sshd[9836]: Bad protocol version identification 'REMOTE HI_SRDK_DEV_GetHddInfo MCTP/1.0' from 186.4.174.94 port 34515
Feb 05 07:59:13 malan-server sshd[9850]: Bad protocol version identification 'GET / HTTP/1.1' from 209.17.97.34 port 43944
Feb 05 09:09:48 malan-server sshd[9863]: Bad protocol version identification 'REMOTE HI_SRDK_DEV_GetHddInfo MCTP/1.0' from 98.150.93.187 port 60182
Feb 05 14:09:45 malan-server sshd[9911]: Did not receive identification string from 191.232.54.97 port 63982
Feb 05 14:09:45 malan-server sshd[9912]: Bad protocol version identification '\003' from 191.232.54.97 port 64044
Feb 05 14:09:45 malan-server sshd[9913]: Bad protocol version identification '\003' from 191.232.54.97 port 64136
Feb 05 14:33:37 malan-server sshd[9919]: Bad protocol version identification '' from 198.108.67.48 port 56086

이것은 무엇을 의미합니까?

저는 인터넷이 끔찍하고 무서운 곳이며 공용 IP 주소가 끊임없이 봇 공격의 공격을 받고 있다는 것을 알고 있습니다. 그러나 내 라우터는 포트 9000의 연결을 서버의 포트 22로 전달하도록 구성되어 있으므로 봇 공격이 어떻게 여전히 존재하는지 완전히 확신할 수 없습니다. 내가 보기에는 그들이 65,535개의 가능한 포트를 모두 스캔할 것 같지 않습니다.

질문 목록을 작성하겠습니다.

  1. 너무 추측하기 쉬운 포트를 선택한 걸까요? 더 나은 포트 번호는 무엇입니까?
  2. SSHD 로그에 있는 포트 번호는 무엇을 의미합니까? 내 라우터가 포트 9000을 포트 22로만 전달하도록 구성된 경우 포트 44493에 어떻게 액세스합니까? 나에게는 포트 9000을 통해서만 액세스할 수 있으므로 나열된 포트 번호가 나가는 컴퓨터 포트와 다르다는 것이 분명하지만 내 외부 로그인에 나열된 포트 번호는 다음과 같습니다.아니요9000.
  3. 무슨 뜻이에요 [preauth]?
  4. 무슨 뜻이에요 Bad protocol version identification 'REMOTE HI_SRDK_DEV_GetHddInfo MCTP/1.0' from 162.207.145.58 port 48248?

답변1

  1. 사용할 수 있는 좋은 포트는 없으며 SSH 구성만 좋습니다. 비밀번호 기반 로그인을 비활성화하고 키 기반 인증만 허용하는 경우 이러한 무차별 대입 시도는 큰 위험을 초래하지 않습니다. 포트 노킹을 추가할 수 있지만 이는 모호한 보안입니다.

  2. 로그 오른쪽에 나열된 포트 번호는 동적으로 할당된 소스 포트이며 대상 시스템이 아닌 소스 시스템에 있습니다.

  3. [preauth]연결이 인증되기 전에 기록된 이벤트가 발생했음을 의미합니다.이 경우 인증되기 전에 연결이 닫힙니다.

  4. 두 번째 로그 세트의 모든 로그는 데몬으로 전송된 비SSH 트래픽에 해당합니다. 특히 비표준 포트에서 수신할 때 이런 일이 자주 발생하는 것을 볼 수 있습니다. 다양한 스캐너는 상대방이 수신하고 있다는 사실을 모른 채 요청을 보냅니다.

스캔할 시스템이 잘 연결되어 있거나 봇넷에 감염된 호스트가 많은 경우 다양한 포트에서 인터넷의 대부분을 스캔하는 데 오랜 시간이 걸리지 않습니다. 바라보다massscan대규모 스캐닝 도구의 예를 들어보세요. 알려진 공개 IP 주소 및 순환 포트 목록도 있으므로 공개 포트 9000을 찾는 데만 스캔이 필요합니다.

답변2

sshd 로깅에 대한 포괄적인 가이드가 누락되었지만 요점을 해결합니다.

너무 추측하기 쉬운 포트를 선택한 걸까요? 더 나은 포트 번호는 무엇입니까?

"단지" 65,535개의 포트가 있고 스캐너는 포트를 찾는 데 매우 능숙하므로 가장 간단한 스캔을 피하기 위해 포트 22를 초과하면 다른 포트보다 임의의 포트를 선택하는 데 큰 이점이 없습니다.

SSHD 로그에 있는 포트 번호는 무엇을 의미합니까? 내 라우터가 포트 9000을 포트 22로만 전달하도록 구성된 경우 포트(43944)에 어떻게 액세스합니까? 나

예를 들어 IP 뒤의 포트 번호는 209.17.97.34 port 43944다음을 의미합니다 .원천포트는 해당 측의 커널에 의해 임의로 선택될 수 있습니다. 이것은 당신에게 거의 아무 의미가 없습니다.

[사전승인]은 무슨 뜻인가요?

이는 "사전 인증"의 약어입니다. ssh는 이를 단계별로 수행하며 이것이 그 중 하나입니다. 아직 더 남았고,U&L에도 비슷한 문제가 있다.

162.207.145.58 포트 48248의 잘못된 프로토콜 버전 식별자 "REMOTE HI_SRDK_DEV_GetHddInfo MCTP/1.0"은 무엇을 의미합니까?

빠른 Google 검색으로 이 사실이 밝혀졌습니다. 서버 로그에 이상한 쿼리 REMOTE HI_SRDK_DEV_GetHddInfo가 있습니다. In Stack Overflow - "기회"를 찾는 스캐너라는 생각을 강화합니다.

답변3

글쎄, 당신의 잘못된 프로토콜은 CVE-2015-4464에 취약한 Kguard 디지털 비디오 레코더를 검색하고 있습니다. 그들은 기본적으로 포트 9000을 사용합니다.

https://dl.packetstormsecurity.net/1506-exploits/kdvr-authorization.txt

관련 정보