누군가 나를 공격하려는 것 같아요

누군가 나를 공격하려는 것 같아요
root@host [/var/log]# tail -f secure
Jan  3 20:16:10 host sshd[22670]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=61.142.131.120  user=root
Jan  3 20:16:12 host sshd[22670]: Failed password for root from 61.142.131.120 port 9303 ssh2
Jan  3 20:16:15 host sshd[22670]: Failed password for root from 61.142.131.120 port 9303 ssh2
Jan  3 20:16:18 host sshd[22670]: Failed password for root from 61.142.131.120 port 9303 ssh2
Jan  3 20:16:18 host sshd[22684]: Disconnecting: Too many authentication failures for root
Jan  3 20:16:18 host sshd[22670]: PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=61.142.131.120  user=root
Jan  3 20:16:26 host sshd[23127]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=61.142.131.120  user=root
Jan  3 20:16:28 host sshd[23127]: Failed password for root from 61.142.131.120 port 33913 ssh2
Jan  3 20:16:29 host sshd[23127]: Failed password for root from 61.142.131.120 port 33913 ssh2
Jan  3 20:16:30 host sshd[23154]: Connection closed by 61.142.131.120

61.142.131.120은 내 IP가 아닙니다. 그래서 그 사람이 누군지 모르겠어요. 그리고 루트로 로그인할 수 없습니다. 다행히 한 번 로그인에 성공했습니다. 이제 passwd를 통해 비밀번호를 변경한 후에도 여전히 whm 또는 root에 로그인할 수 없습니다.

더 이상 로그인을 시도하지 않아도 보안 비밀번호 실패에 대한 보고가 계속해서 표시됩니다.

결국 모든 것이 정상으로 돌아왔지만 로그가 이상했습니다.

Jan  3 20:21:51 host sshd[1252]: reverse mapping checking getaddrinfo for fm-dyn-139-193-157-62.fast.net.id [139.193.157.62] failed - POSSIBLE BREAK-IN ATTEMPT!
Jan  3 20:21:55 host sshd[1252]: Accepted password for root from 139.193.157.62 port 29144 ssh2
Jan  3 20:21:55 host sshd[1252]: pam_unix(sshd:session): session opened for user root by (uid=0)

getaddrinfo가 작동하지 않는다는 게 무슨 뜻인가요?

답변1

getaddrinfo수표를 언급할 가능성이 높습니다 sshd. ssh시스템에 접속 하려고 하면 IP 주소에 대해 역방향 DNS 조회를 실행하여 귀하가 말하는 사람과 일치하는지 확인합니다. 본질적으로 이것은 속임수를 방지하려는 시도입니다.

이 로그는 일종의 공격처럼 보입니다. 반드시 표적화되는 것은 아닙니다. 사람들은 자동화된 도구를 사용하여 시스템에 무작위로 침입하려고 시도합니다. 따라서 비밀번호 root로그인을 절대 허용해서는 안 됩니다. ssh실제로 PermitRootLoginin을 sshd_config로 설정해야 합니다 no. 반드시 로그인해야 하는 경우 root( ssh거의 발생하지 않습니다. 때로는 컴퓨터를 원격으로 제어하기 위한 프로그램이 필요하지만 일반적으로 그렇지 않음) 개인용 컴퓨터 SSH 키에 설정하고 다음을 입력합니다. /root/.ssh/authorized_keys원격 컴퓨터의 공개 키 . 비밀번호를 루트 로그인 PermitRootLogin으로 변경하여 비밀번호를 끄세요 . 하지만 아마도 다시 설정해야 할 것입니다 .without-passwordsshd_configno

이러한 유형의 공격에 대한 추가 정보: /var/log/secure에 "침입 시도 가능성이 있습니다!" - 이는 무엇을 의미합니까?

답변2

이것...

Jan  3 20:21:51 host sshd[1252]: reverse mapping checking getaddrinfo for fm-dyn-139-193-157-62.fast.net.id [139.193.157.62] failed - POSSIBLE BREAK-IN ATTEMPT! 

...다음을 가리키는 것 같습니다이것

그런데 루트 로그인을 비활성화해야 합니다. 컴퓨터에 대한 루트 액세스 권한이 없으면 모든 파일을 USB 또는 기타 장치에 저장하고 선택한 배포판을 다시 설치하는 것이 위험을 무릅쓰는 것보다 낫습니다.

관련 정보