題 這是DDoS,黑客企圖還是其他什麼?


我之前通過SSH連接到我的家庭服務器,因為響應HTTP請求花了很長時間。我注意到shell提示也表現得很慢。所以我打字了 top,並看到了幾個實例 sshd 使用大量的CPU時間。我檢查了auth.log,這就是我所看到的:

Jul 16 14:31:56 server sshd[5799]: reverse mapping checking getaddrinfo for 198-136-57-92.static.lvnoc.com [198.136.57.92] failed - POSSIBLE BREAK-IN ATTEMPT!
Jul 16 14:31:56 server sshd[5799]: User root from 198.136.57.92 not allowed because none of user's groups are listed in AllowGroups
Jul 16 14:31:56 server sshd[5799]: input_userauth_request: invalid user root [preauth]
Jul 16 14:31:56 server sshd[5799]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=198.136.57.92  user=root
Jul 16 14:31:59 server sshd[5799]: Failed password for invalid user root from 198.136.57.92 port 54672 ssh2
Jul 16 14:31:59 server sshd[5799]: Received disconnect from 198.136.57.92: 11: Bye Bye [preauth]
Jul 16 14:32:00 server sshd[5802]: reverse mapping checking getaddrinfo for 198-136-57-92.static.lvnoc.com [198.136.57.92] failed - POSSIBLE BREAK-IN ATTEMPT!
Jul 16 14:32:00 server sshd[5802]: User root from 198.136.57.92 not allowed because none of user's groups are listed in AllowGroups
Jul 16 14:32:00 server sshd[5802]: input_userauth_request: invalid user root [preauth]
Jul 16 14:32:00 server sshd[5802]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=198.136.57.92  user=root
Jul 16 14:32:01 server sshd[5802]: Failed password for invalid user root from 198.136.57.92 port 56112 ssh2
Jul 16 14:32:02 server sshd[5802]: Received disconnect from 198.136.57.92: 11: Bye Bye [preauth]
Jul 16 14:32:04 server sshd[5805]: reverse mapping checking getaddrinfo for 198-136-57-92.static.lvnoc.com [198.136.57.92] failed - POSSIBLE BREAK-IN ATTEMPT!
Jul 16 14:32:04 server sshd[5805]: User root from 198.136.57.92 not allowed because none of user's groups are listed in AllowGroups
Jul 16 14:32:04 server sshd[5805]: input_userauth_request: invalid user root [preauth]
Jul 16 14:32:04 server sshd[5805]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=198.136.57.92  user=root
Jul 16 14:32:06 server sshd[5805]: Failed password for invalid user root from 198.136.57.92 port 57176 ssh2
Jul 16 14:32:06 server sshd[5805]: Received disconnect from 198.136.57.92: 11: Bye Bye [preauth]

請注意左側的時間戳,以查看它的頻率。根據日誌,在我看到之前已經發生了大約半小時。不用說,我阻止了他們的IP(198.136.57.92hosts.deny,但我想知道這裡到底發生了什麼。它只是一種拒絕服務攻擊,還是一種攻擊? POSSIBLE BREAK-IN ATTEMPT


4
2017-07-16 18:52


起源


歡迎來到互聯網。 :) - Michael Hampton
這是一次破解嘗試。正如@MichaelHampton所說,歡迎來到互聯網 - 這將繼續發生。 - Jenny D
好像 互聯網背景輻射  - 史蒂夫吉布森對於這種“噴霧和祈禱”破解嘗試的用語。 - nc4pk
有人試圖通過連接到您的服務器 root 我不認為單一連接是DOS攻擊。 - Ramhound
每隔五秒進行一次登錄嘗試不會構成拒絕服務攻擊,除非您的服務器是Raspberry Pi(可能不是那麼)。 - Daniel Beck♦


答案:


好, POSSIBLE BREAK-IN ATTEMPT 表示沒有為嘗試連接的IP地址正確設置反向DNS區域;轉發DNS記錄與反向DNS記錄不匹配。

看起來有人試圖強行使用服務器來使用SSH。

我懷疑這是使用SSH的DDoS。


5
2017-07-16 19:10



好的謝謝。我使用的是一個安全的密碼,即使每秒一次嘗試也會花費數百萬年來暴力破解,此外,我甚至不允許以root身份登錄SSH。 :-)出於好奇,如果我要設置一個服務器,而不是做任何事情來向搜索引擎或任何東西做廣告,但是SSH可以通過root訪問,並使用密碼“密碼”,它會持續多久,直到有人砍了它? - flarn2006
做得好密碼!即使你沒有宣傳你的服務器,黑客也會在某些時候發現它。如果'密碼'是您的密碼,它很快就會被破解,因為像'test','password','qwerty'等詞首先在列表中嘗試一次。一旦我的朋友設置了一台root密碼為123456的Linux計算機。這是全新安裝,沒有任何設置,他忘了更改密碼。它連接到互聯網。第二天,我們發現有人通過SSH以root身份進入計算機並安裝了病毒。所以,在他的情況下,花了一天時間才被破解。 - VL-80