主页 / unix / 问题 / 499982
Accepted
mas
Asked: 2019-02-12 08:25:42 +0800 CST

了解 sshd 日志

  • 772

我知道在哪里可以找到日志,但我并不总是确定它们的含义。而且我无法完全找到关于 sshd 日志的综合指南来解释它们的含义。

我特别关心这组日志尝试:

Feb 03 01:08:47 malan-server sshd[8110]: Invalid user centos from 193.106.58.90 port 34574
Feb 03 01:08:47 malan-server sshd[8110]: pam_tally(sshd:auth): pam_get_uid; no such user
Feb 03 01:08:47 malan-server sshd[8110]: pam_unix(sshd:auth): check pass; user unknown
Feb 03 01:08:47 malan-server sshd[8110]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=193.106.58.90
Feb 03 01:08:48 malan-server sshd[8110]: Failed password for invalid user centos from 193.106.58.90 port 34574 ssh2
Feb 03 01:08:49 malan-server sshd[8110]: Connection closed by invalid user centos 193.106.58.90 port 34574 [preauth]
Feb 03 01:14:30 malan-server sshd[8114]: Invalid user centos from 193.106.58.90 port 39249
Feb 03 01:14:30 malan-server sshd[8114]: pam_tally(sshd:auth): pam_get_uid; no such user
Feb 03 01:14:30 malan-server sshd[8114]: pam_unix(sshd:auth): check pass; user unknown
Feb 03 01:14:30 malan-server sshd[8114]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=193.106.58.90
Feb 03 01:14:32 malan-server sshd[8114]: Failed password for invalid user centos from 193.106.58.90 port 39249 ssh2
Feb 03 01:14:34 malan-server sshd[8114]: Connection closed by invalid user centos 193.106.58.90 port 39249 [preauth]
Feb 03 01:20:18 malan-server sshd[8118]: Invalid user centos from 193.106.58.90 port 43934
Feb 03 01:20:18 malan-server sshd[8118]: pam_tally(sshd:auth): pam_get_uid; no such user
Feb 03 01:20:18 malan-server sshd[8118]: pam_unix(sshd:auth): check pass; user unknown
Feb 03 01:20:18 malan-server sshd[8118]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=193.106.58.90
Feb 03 01:20:20 malan-server sshd[8118]: Failed password for invalid user centos from 193.106.58.90 port 43934 ssh2
Feb 03 01:20:22 malan-server sshd[8118]: Connection closed by invalid user centos 193.106.58.90 port 43934 [preauth]
Feb 03 01:26:06 malan-server sshd[8121]: Invalid user centos from 193.106.58.90 port 48611
Feb 03 01:26:06 malan-server sshd[8121]: pam_tally(sshd:auth): pam_get_uid; no such user
Feb 03 01:26:06 malan-server sshd[8121]: pam_unix(sshd:auth): check pass; user unknown
Feb 03 01:26:06 malan-server sshd[8121]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=193.106.58.90
Feb 03 01:26:08 malan-server sshd[8121]: Failed password for invalid user centos from 193.106.58.90 port 48611 ssh2
Feb 03 01:26:08 malan-server sshd[8121]: Connection closed by invalid user centos 193.106.58.90 port 48611 [preauth]

那天有很多来自193.106.58.90乌克兰基辅的同一个 IP 地址。

另一组看起来很吓人的日志是:

Feb 04 19:58:29 malan-server sshd[9725]: Bad protocol version identification 'RFB 003.003' from 142.44.253.51 port 36772
Feb 04 23:47:52 malan-server sshd[9762]: Bad protocol version identification 'REMOTE HI_SRDK_DEV_GetHddInfo MCTP/1.0' from 162.207.145.58 port 48248
Feb 05 06:40:36 malan-server sshd[9836]: Bad protocol version identification 'REMOTE HI_SRDK_DEV_GetHddInfo MCTP/1.0' from 186.4.174.94 port 34515
Feb 05 07:59:13 malan-server sshd[9850]: Bad protocol version identification 'GET / HTTP/1.1' from 209.17.97.34 port 43944
Feb 05 09:09:48 malan-server sshd[9863]: Bad protocol version identification 'REMOTE HI_SRDK_DEV_GetHddInfo MCTP/1.0' from 98.150.93.187 port 60182
Feb 05 14:09:45 malan-server sshd[9911]: Did not receive identification string from 191.232.54.97 port 63982
Feb 05 14:09:45 malan-server sshd[9912]: Bad protocol version identification '\003' from 191.232.54.97 port 64044
Feb 05 14:09:45 malan-server sshd[9913]: Bad protocol version identification '\003' from 191.232.54.97 port 64136
Feb 05 14:33:37 malan-server sshd[9919]: Bad protocol version identification '' from 198.108.67.48 port 56086

这些是什么意思?

我知道互联网是一个非常糟糕、可怕的地方,面向公众的 IP 地址不断受到机器人攻击的轰炸。但是我将路由器配置为将端口 9000 上的连接转发到服务器的端口 22,所以我不完全确定仍然存在机器人攻击。在我看来,他们不太可能对所有 65,535 个可能的端口进行端口扫描。

我会写一个问题清单:

  1. 我只是选择了一个太容易猜到的端口吗?什么是更好的端口号?
  2. 这些 sshd 日志中的端口号是什么意思?如果我的路由器仅配置为将端口 9000 转发到端口 22,他们如何访问端口 44493?对我来说很明显列出的端口号与向外的计算机端口不同,因为我只通过端口 9000 访问,但为我自己的外部登录列出的端口号不是9000。
  3. 是什么[preauth]意思?
  4. 是什么Bad protocol version identification 'REMOTE HI_SRDK_DEV_GetHddInfo MCTP/1.0' from 162.207.145.58 port 48248意思?
ssh logs

3 个回答

  1. Best Answer

    1. 没有好的端口可以使用,只有好的 SSH 配置。如果您禁用基于密码的登录并且只允许基于密钥的身份验证,那么您不会因为这种暴力破解尝试而冒太大风险。您可以添加端口敲门,但这是默默无闻的安全性。

    2. 日志右侧列出的端口号是源端口;这些是动态分配的,并且位于源系统上,而不是目标系统上。

    3. [preauth]意味着记录的事件发生在连接被验证之前——在这种情况下连接在被验证之前被关闭。

    4. 第二组日志中的所有日志都对应于发送到您的守护进程的非 SSH 流量。您会经常看到这种情况发生,尤其是当您在非标准端口上侦听时——各种扫描仪将发送请求而不知道另一端在侦听什么。

    如果您有连接良好的系统可供扫描,或者僵尸网络中有大量受感染的主机,则在各种端口上扫描大部分 Internet 不会花费很长时间。有关massscan大规模扫描工具的示例,请参阅。还有一些已知开放的 IP 地址和端口的列表正在传播;因此,只需一次扫描即可找到您的开放端口 9000。

    • 8

  2. 缺少 sshd 日志的综合指南,但可以解决您的问题:

    我只是选择了一个太容易猜到的端口吗?什么是更好的端口号?

    “只有” 65,535 个端口,扫描仪很擅长找到它们,因此一旦您超出端口 22 以避免最简单的扫描,选择一个任意端口而不是另一个端口并没有太多好处。

    这些 sshd 日志中的端口号是什么意思?如果我的路由器仅配置为将端口 9000 转发到端口 22,他们如何访问端口 (43944)?我

    IP 后面的端口号,例如209.17.97.34 port 43944表示源端的端口,该端口可能是由该端的内核任意选择的。这对你来说几乎没有任何意义。

    [preauth] 是什么意思?

    它是“pre (before) authentication”的缩写;ssh 分阶段执行,这就是其中之一。U&L还有其他类似的问题

    Bad protocol version Identification 'REMOTE HI_SRDK_DEV_GetHddInfo MCTP/1.0' from 162.207.145.58 port 48248 是什么意思?

    快速的 Google 搜索 在 Stack Overflow的服务器日志 REMOTE HI_SRDK_DEV_GetHddInfo 中发现了这个奇怪的查询 ——强化了这是一个寻找“机会”的扫描仪的想法。

    • 5

  3. 好吧,您的不良协议正在扫描易受 CVE-2015-4464 攻击的 Kguard 数字视频录像机。他们只是碰巧默认使用端口 9000 ..

    https://dl.packetstormsecurity.net/1506-exploits/kdvr-authorization.txt

    • 2

相关问题