¿Por qué los siguientes Netstat, PS y auth.log tienen tal salida? -- server campo con ssh campo con connection campo con webserver campo con logs camp askubuntu Relacionados El problema

Why do the following netstat, ps, and auth.log have such output?


0
vote

problema

Español

Parece que está recibiendo muchas conexiones diferentes (SSH) en este servidor Ubuntu en el que estoy sospechando. ¿Son estos intentos de fuerza bruta?

Cuando se ejecuta netstat -tnpa | grep 'ESTABLISHED.*sshd' ¿Por qué obtengo al final de cada línea "raíz @ p" y "[ACCEP", respectivamente?

Además, cuando se ejecuta grep sshd.*Failed /var/log/auth.log | tail -20 parece obtener muchos "usuarios inválidos" diferentes. ¿Por qué es así? Por último, ABCDEFGHIJKLMNABCDEFGHIJKLMN2 Productos Dos "[aceptados]". ¿Por qué es así?

Gracias. La salida del comando se puede ver a continuación - & gt;

https://i.stack.imgur.com/f2qnq.png https://i.stack.imgur.com/kmbyp.png

Actualización:

Otra cosa interesante sucedió ahora. Corrí ABCDEFGHIJKLMNABCDEFGHIJKLMN3 nuevamente y aparentemente se enumeró una IP en el formulario "103.100.xxxx" de Hong Kong. Luego, luego ejecuté cat /var/log/auth.log | tail -100 y obtuve los siguientes

  ABCDEFGHIJKLMNABCDEFGHIJKLMN5   

Luego corrigo grep sshd.*Failed /var/log/auth.log | tail -20 y manchado Feb 16 18:00:42 838396123831 sshd[227760]: Failed password for invalid user ircbot from 103.136.xxxxx port 47546 ssh2

Luego ejecuto grep sshd.*Failed /var/log/auth.log | tail -100 y vea

  ABCDEFGHIJKLMNABCDEFGHIJKLMN9   

¿Qué significa esto? ¿Lo que está sucediendo? ¿Fue o alguna otra persona logró iniciar sesión en el servidor a través de SSH?

Original en ingles

I seem to be getting a lot of different connections (ssh) on this Ubuntu server I am sshed into. Are these just brute force attempts?

When running netstat -tnpa | grep 'ESTABLISHED.*sshd' why do I get at end of each line "root@p" and "[accep" respectively?

Furthermore, when running grep sshd.\*Failed /var/log/auth.log | tail -20 I seem to get a lot of different "invalid users". Why is that so? Lastly, ps auxwww | grep sshd: outputs two "[accepted]". Why is that so?

Thank you. The output of the command's can be seen below -->

https://i.stack.imgur.com/f2qNQ.png https://i.stack.imgur.com/kMByp.png

Update:

Another interesting thing happened now. I ran netstat -tnpa | grep 'ESTABLISHED.*sshd' again and an IP in the form "103.100.xxxx" from Hong Kong apparently was listed. I had then run cat /var/log/auth.log | tail -100 and gotten the following

Feb 16 17:58:25 838396123831 sshd[227710]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=103.100.210.xxx  user=root Feb 16 17:58:26 838396123831 sshd[227708]: Received disconnect from 103.136.xxxxp ort 33268:11: Bye Bye [preauth] Feb 16 17:58:26 838396123831 sshd[227708]: Disconnected from invalid user hero 103.136.xxxx port 33268 [preauth] Feb 16 17:58:27 838396123831 sshd[227710]: Failed password for root from 103.100.xxxx port 40810 ssh2 Feb 16 17:58:27 838396123831 sshd[227710]: Received disconnect from 103.100.xxxx port 40810:11: Bye Bye [preauth] Feb 16 17:58:27 838396123831 sshd[227710]: Disconnected from authenticating user root 103.100.xxxx port 40810 [preauth]  

Then I ran grep sshd.\*Failed /var/log/auth.log | tail -20 and spotted Feb 16 18:00:42 838396123831 sshd[227760]: Failed password for invalid user ircbot from 103.136.xxxxx port 47546 ssh2

I then run grep sshd.\*Failed /var/log/auth.log | tail -100 and see

 Feb 16 17:53:24 838396123831 sshd[227596]: Failed password for root from 103.136.xxxx port 33470 ssh2 Feb 16 17:55:57 838396123831 sshd[227652]: Failed password for root from 103.136.xxxxx port 47406 ssh2  Feb 16 17:58:24 838396123831 sshd[227708]: Failed password for invalid user hero from 103.136.xxxxx port 33268 ssh2 Feb 16 18:00:42 838396123831 sshd[227760]: Failed password for invalid user ircbot from 103.136.xxxxx port 47546 ssh2  

What does this mean? What is happening? Was or is any other person managed to log in to the server via ssh?

              

Lista de respuestas

1
 
vote

Sí, esos son ataques de fuerza bruta. Cualquier persona con un dispositivo orientado externamente, casi de inmediato, se someterá a este tipo de ataques.

No, no creo que realmente hayan sido comprometidos. El ABCDEFGHIJKLMNABCDEFGHIJKLMN15 La conexión que observó fue solo un intento de progreso. No confunda un ABCDEFGHIJKLMNABCDEFGHIJKLMN16 TCP Conexión con un inicio de sesión SSH exitoso, no son lo mismo.

Estoy asumiendo que la conexión SSH real es usted.

Considere cambiar su puerto SSH alejado del puerto predeterminado 22 y / o implementando un detector 'Bad Guy'. Muchos recomiendan Fail2ban. Yo uso el módulo reciente en Iptables. El truco con China es bloquear una sub-neta completa, no solo la IP de ataque, porque se han escapado y simplemente cambian a otra IP una vez bloqueada. Ejemplo de segmento de reglas de IPTables, algo fuera de contexto:

  ABCDEFGHIJKLMNABCDEFGHIJKLMN17   
 

Yes, those are brute force attacks. Anybody with an externally facing device will, almost immediately, be subjected to these type of attacks.

No, I do not think you have actually been compromised. The ESTABLISHED connection you observed was just an in progress attempt. Don't confuse an ESTABLISHED tcp connection with a successful SSH login, they are not the same.

I am assuming the actual SSH connection is you.

Consider changing your SSH port away from the default port 22 and/or implementing a 'bad guy' detector. Many recommend fail2ban. I use the recent module in iptables. The trick with China is to block an entire sub-net, not just the attacking IP, because they have gotten clever and merely switch to another IP once blocked. Example iptables rule segment, somewhat out of context:

# Dynamic Badguy List. Detect and DROP Bad IPs that do password attacks on SSH. # Once they are on the BADGUY list then DROP all packets from them. # Sometimes make the lock time very long. Typically to try to get rid of coordinated attacks from China. $IPTABLES -A INPUT -i $EXTIF -m recent --mask $BIT_MASK --update --hitcount 3 --seconds 90000 --name BADGUY_SSH -j LOG --log-prefix "SSH BAD:" --log-level info $IPTABLES -A INPUT -i $EXTIF -m recent --mask $BIT_MASK --update --hitcount 3 --seconds 90000 --name BADGUY_SSH -j DROP $IPTABLES -A INPUT -i $EXTIF -p tcp -m tcp --dport 22 -m recent --mask $BIT_MASK --set --name BADGUY_SSH -j ACCEPT 
 
 

Relacionados problema

1  El cierre de Ubuntu es muy lento  ( Ubuntu shutdown is very slow ) 
Durante mi trabajo diario con Ubuntu, a veces sucede que el proceso de apagado es muy lento. Se tarda unos 10 minutos. Pero esto sucede solo después de aproxi...

3  ¿Cómo verificar cuándo un proceso dejó de funcionar? [duplicar]  ( How to check when a process stopped running ) 
Esta pregunta ya tiene una respuesta aquí : ¿Cómo puedo correr? ¿Un comando antes o después de cada ...

0  ¿Cómo encontrar el registro de MySQL en XAMPP?  ( How to find mysql log in xampp ) 
Estoy en Ubuntu 16.04, Xampp 7.2 64 bits, ¿cómo encontrar registros de MySQL? Intenté todas las respuestas enumeradas aquí , Ninguno trabajó, no los registro...

0  Cadena en syslog cuando livepatch hace algo  ( String in syslog when livepatch does something ) 
Me he suscrito a Canonical ABCDEFGHIJKLMNABCDEFGHIJKLMN3 y tengo curiosidad por saber si alguna vez ha hecho algo. Al leer los Syslogs, veo las muchas veces...

2  Registros extraños postfix  ( Weird postfix logs ) 
En el correo. Esto aparece ~ 2 veces por minuto. No me importaba lo que eran, pero ahora quiero encontrar la razón. Oct 2 20:27:02 sa-pd postfix/cleanup[3...

2  ¿Cómo descubrí qué proceso crea un directorio de tilde "~" en mi carpeta de inicio?  ( How do i found out which process creates a tilde directory in my home folder ) 
Algunos procesos siguen creando un directorio llamado ~ en mi carpeta de inicio. ¿Cómo puedo saber qué proceso está haciendo esto? No pude encontrar nada útil...

2  ¿Cómo cambiar el archivo de registro de AppArmor?  ( How to change apparmor logging file ) 
AplArmor Iniciar sesión en syslog de forma predeterminada. ¿Cómo cambiar la configuración de AppArmor para iniciar sesión en /var/log/apparmor.log, por ejempl...

1  Unity7.Log archivo comiendo espacio en disco  ( Unity7 log file eating disk space ) 
Este archivo .cache / unity7.log en mi directorio de inicio está comiendo en mi espacio en disco. Aumenta a varios GB en minutos y, finalmente, recibo el mens...

0  Cómo ver las actividades realizadas de WINSCP en el sistema Ubuntu  ( How to see activities performed from winscp on ubuntu system ) 
Con frecuencia me conecto a las máquinas Ubuntu desde WINSCP para realizar algunas acciones de archivo, como copiar o eliminar archivos. Pero estas acciones n...

0  Lectura de registros de demonio para WLAN0  ( Reading daemon logs for wlan0 ) 
Tengo un dispositivo Raspberry Pidefghijklmn2defghijklmn2Defghijklmn2Defghijklmn2Defghijklmn2 El dispositivo se desempeña bien en ABCDEFGHIJKLMNABCDEFGHIJKL...




© 2022 respuesta.top Reservados todos los derechos. Centro de preguntas y respuestas reservados todos los derechos