Подозрительные записи журнала ssh («Не принимаются для анонимных»)
Я получил эту цепочку записей журнала (и подобное неоднократно) на моем сервере:
Nov 24 07:38:59 server sshd[28676]: SSH: Server;Ltype: Version;Remote: 54.38.81.12-40482;Protocol: 2.0;Client: OpenSSH_7.2p2 Ubuntu-4ubuntu2.4
Nov 24 07:38:59 server sshd[28676]: SSH: Server;Ltype: Kex;Remote: 54.38.81.12-40482;Enc: aes128-cbc;MAC: umac-64-etm@openssh.com;Comp: none [preauth]
Nov 24 07:39:00 server sshd[28676]: SSH: Server;Ltype: Authname;Remote: 54.38.81.12-40482;Name: anonymous [preauth]
Nov 24 07:39:00 server sshd[28676]: Accepted none for anonymous from 54.38.81.12 port 40482 ssh2
Nov 24 07:39:01 server sshd[28681]: refused local port forward: originator 127.0.0.1 port 46338, target 167.114.159.146 port 80
Nov 24 07:39:01 server sshd[28681]: refused local port forward: originator 127.0.0.1 port 47552, target 167.114.159.146 port 80
...
Nov 24 07:39:19 server sshd[28681]: Disconnected from 54.38.81.12
Я почти уверен, что это была хакерская атака, но как узнать, была ли она успешной? Особенно непонятно сообщение «Не принято для анонимного».анонимный @ сервер), но получил сообщение доступ запрещен .
Если меня не взломали, как мне защититься от такого рода атак? Уже установлен fail2ban из-за других подозрительных записей журнала, но это произошло после установки.
Редактировать 1:
Проверил файл / etc / ssh / sshd_config и обнаружил, что PermitEmptyPasswords был установлен на нет . Так что все должно быть в порядке.
Редактировать 2:
Я не знаком с файловой системой / proc , но вот что я обнаружил:
user@server:~$ sudo file /proc/5931/exe
/proc/5931/exe: broken symbolic link to /usr/bin/sshd
user@server:~$ sudo which sshd
/usr/sbin/sshd
Хорошо, файл сообщает, что это неработающая символическая ссылка, но если я попробую sudo hexdump / proc / 5931 / exe , я получу данные. Это нормально?
Edit 3:
Теперь я знаю, в чем причина Edit 2. Я смешиваю две системы вместе. Я запускаю Chrooted Debian Stretch на Synology NAS. И есть процессы как из этого Debian, так и из Synology DSM в файловой системе / proc. В каждой из систем есть другое расположение исполняемого файла sshd.
Изменить 4:
Это то, что показывает less / proc / * / cmdline :
/usr/bin/sshd^@
sshd: user [priv]
sshd: user@pts/4^@
/usr/sbin/sshd^@
sshd: user [priv]
sshd: user@pts/3^@
Изменить 5:
Я знаю то, что здесь показано, не является подозрительным логином. (Замените user моим именем пользователя (полностью анонимно этот вывод).) Проблема в том, что мне нужно было поймать процесс, пока анонимный пользователь вошел в систему. Он внезапно отключается так что я не могу наблюдать за процессом вживую. Как создать ловушку, чтобы я мог реагировать на анонимный вход в систему?
Понятно, что пользователь анонимный присутствует только в системе Synology DSM. Возможно ли, что журналы из системы DSM записываются также в chrooted Debian? Пытался отключить службы FTP и SFTP, потому что этот пользователь принадлежит к группе ftp , но пользователь остается там. В системе DSM нет ни passwd , ни usermod команды, поэтому я не уверен, как отключить доступ для этого пользователя. анонимный имеет его оболочку, установленную на / sbin / nologin , поэтому не должно быть даже возможности войти через SSH и попробовать переадресацию порта.
Редактировать 6:
Изучил Конфигурация SSH в системе Synology DSM. Я изменил некоторые настройки:
#PermitEmptyPasswords no -> раскомментированный
# allow the use of the none cipher
#NoneEnabled no # uncommented
რედაქტირება 6, როგორც ჩანს, ამ საკითხს გადაჭრილა (სულ მცირე, ასეთი სახის შეტევის ჟურნალები მაინც გაქრა):
Synosh DSM სისტემის SSH კონფიგურაციის გამოკვლევა. ისე, იყო რამდენიმე პარამეტრი შევცვალე:
# PermitEmptyPasswords no-> unmentmented# დაუშვით არშიფერის გამოყენება # არა ჩართულია არა # უკომენტაროდ