誰かが私を攻撃したいと思います。

誰かが私を攻撃したいと思います。
root@host [/var/log]# tail -f secure
Jan  3 20:16:10 host sshd[22670]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=61.142.131.120  user=root
Jan  3 20:16:12 host sshd[22670]: Failed password for root from 61.142.131.120 port 9303 ssh2
Jan  3 20:16:15 host sshd[22670]: Failed password for root from 61.142.131.120 port 9303 ssh2
Jan  3 20:16:18 host sshd[22670]: Failed password for root from 61.142.131.120 port 9303 ssh2
Jan  3 20:16:18 host sshd[22684]: Disconnecting: Too many authentication failures for root
Jan  3 20:16:18 host sshd[22670]: PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=61.142.131.120  user=root
Jan  3 20:16:26 host sshd[23127]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=61.142.131.120  user=root
Jan  3 20:16:28 host sshd[23127]: Failed password for root from 61.142.131.120 port 33913 ssh2
Jan  3 20:16:29 host sshd[23127]: Failed password for root from 61.142.131.120 port 33913 ssh2
Jan  3 20:16:30 host sshd[23154]: Connection closed by 61.142.131.120

61.142.131.120は私のIPではありません。だからその人が誰なのか分からない。そしてrootとしてログインできません。幸い、一度ログインに成功しました。 passwdを介してパスワードを変更した後でも、まだwhmまたはrootにログインできなくなりました。

ログインを試みなくても、セキュリティパスワードの失敗に関する報告は引き続き表示されます。

結局、すべてが正常に戻ったが、ログは奇妙だった。

Jan  3 20:21:51 host sshd[1252]: reverse mapping checking getaddrinfo for fm-dyn-139-193-157-62.fast.net.id [139.193.157.62] failed - POSSIBLE BREAK-IN ATTEMPT!
Jan  3 20:21:55 host sshd[1252]: Accepted password for root from 139.193.157.62 port 29144 ssh2
Jan  3 20:21:55 host sshd[1252]: pam_unix(sshd:session): session opened for user root by (uid=0)

getaddrinfoが機能しないということはどういう意味ですか?

答え1

getaddrinfo小切手に言及する可能性が高いですsshdsshシステムにアクセスしようとすると、IPアドレスに対してリバースDNSルックアップを実行して、発信者と一致することを確認します。本質的に、これはトリックを防ぐ試みです。

このログは一種の攻撃のように見えます。必ずしも標的となるわけではありません。人々は自動化されたツールを使用してシステムにランダムに侵入しようとします。したがって、パスワードrootログインを絶対に許可しないでください。ssh実際にPermitRootLogininsshd_configをに設定する必要がありますno。ログインする必要がある場合rootsshほとんど発生しません。時にはコンピュータをリモートで制御するためのプログラムが必要ですが、通常はそうではありません)、パーソナルコンピュータのSSHキーに設定して次のように入力します。/root/.ssh/authorized_keysリモートコンピュータの公開鍵。パスワードをrootログインPermitRootLoginに変更してパスワードをオフにします。しかし、おそらくリセットする必要があります。without-passwordsshd_configno

この種の攻撃に関する追加情報: /var/log/secureに「侵入を試みる可能性があります!」 - これはどういう意味ですか?

答え2

これ...

Jan  3 20:21:51 host sshd[1252]: reverse mapping checking getaddrinfo for fm-dyn-139-193-157-62.fast.net.id [139.193.157.62] failed - POSSIBLE BREAK-IN ATTEMPT! 

...次を指しているようですこれ

ただし、ルートログインを無効にする必要があります。コンピュータへのrootアクセス権がない場合は、すべてのファイルをUSBまたは他のデバイスに保存し、選択したディストリビューションを再インストールすることは危険を避けるよりも優れています。

関連情報