SSHDログについて

SSHDログについて

ログがどこにあるのかを知っていますが、ログが何であるかは必ずしもわかりません。意味は。 sshdログの意味を説明する包括的なガイドが見つかりません。

私は特に次のような一連のログ試行について心配しています。

Feb 03 01:08:47 malan-server sshd[8110]: Invalid user centos from 193.106.58.90 port 34574
Feb 03 01:08:47 malan-server sshd[8110]: pam_tally(sshd:auth): pam_get_uid; no such user
Feb 03 01:08:47 malan-server sshd[8110]: pam_unix(sshd:auth): check pass; user unknown
Feb 03 01:08:47 malan-server sshd[8110]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=193.106.58.90
Feb 03 01:08:48 malan-server sshd[8110]: Failed password for invalid user centos from 193.106.58.90 port 34574 ssh2
Feb 03 01:08:49 malan-server sshd[8110]: Connection closed by invalid user centos 193.106.58.90 port 34574 [preauth]
Feb 03 01:14:30 malan-server sshd[8114]: Invalid user centos from 193.106.58.90 port 39249
Feb 03 01:14:30 malan-server sshd[8114]: pam_tally(sshd:auth): pam_get_uid; no such user
Feb 03 01:14:30 malan-server sshd[8114]: pam_unix(sshd:auth): check pass; user unknown
Feb 03 01:14:30 malan-server sshd[8114]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=193.106.58.90
Feb 03 01:14:32 malan-server sshd[8114]: Failed password for invalid user centos from 193.106.58.90 port 39249 ssh2
Feb 03 01:14:34 malan-server sshd[8114]: Connection closed by invalid user centos 193.106.58.90 port 39249 [preauth]
Feb 03 01:20:18 malan-server sshd[8118]: Invalid user centos from 193.106.58.90 port 43934
Feb 03 01:20:18 malan-server sshd[8118]: pam_tally(sshd:auth): pam_get_uid; no such user
Feb 03 01:20:18 malan-server sshd[8118]: pam_unix(sshd:auth): check pass; user unknown
Feb 03 01:20:18 malan-server sshd[8118]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=193.106.58.90
Feb 03 01:20:20 malan-server sshd[8118]: Failed password for invalid user centos from 193.106.58.90 port 43934 ssh2
Feb 03 01:20:22 malan-server sshd[8118]: Connection closed by invalid user centos 193.106.58.90 port 43934 [preauth]
Feb 03 01:26:06 malan-server sshd[8121]: Invalid user centos from 193.106.58.90 port 48611
Feb 03 01:26:06 malan-server sshd[8121]: pam_tally(sshd:auth): pam_get_uid; no such user
Feb 03 01:26:06 malan-server sshd[8121]: pam_unix(sshd:auth): check pass; user unknown
Feb 03 01:26:06 malan-server sshd[8121]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=193.106.58.90
Feb 03 01:26:08 malan-server sshd[8121]: Failed password for invalid user centos from 193.106.58.90 port 48611 ssh2
Feb 03 01:26:08 malan-server sshd[8121]: Connection closed by invalid user centos 193.106.58.90 port 48611 [preauth]

その日、同じIPアドレスに多くの人がいましたが、193.106.58.90ウクライナのキエフに位置

ひどいように見える別のログセットは次のとおりです。

Feb 04 19:58:29 malan-server sshd[9725]: Bad protocol version identification 'RFB 003.003' from 142.44.253.51 port 36772
Feb 04 23:47:52 malan-server sshd[9762]: Bad protocol version identification 'REMOTE HI_SRDK_DEV_GetHddInfo MCTP/1.0' from 162.207.145.58 port 48248
Feb 05 06:40:36 malan-server sshd[9836]: Bad protocol version identification 'REMOTE HI_SRDK_DEV_GetHddInfo MCTP/1.0' from 186.4.174.94 port 34515
Feb 05 07:59:13 malan-server sshd[9850]: Bad protocol version identification 'GET / HTTP/1.1' from 209.17.97.34 port 43944
Feb 05 09:09:48 malan-server sshd[9863]: Bad protocol version identification 'REMOTE HI_SRDK_DEV_GetHddInfo MCTP/1.0' from 98.150.93.187 port 60182
Feb 05 14:09:45 malan-server sshd[9911]: Did not receive identification string from 191.232.54.97 port 63982
Feb 05 14:09:45 malan-server sshd[9912]: Bad protocol version identification '\003' from 191.232.54.97 port 64044
Feb 05 14:09:45 malan-server sshd[9913]: Bad protocol version identification '\003' from 191.232.54.97 port 64136
Feb 05 14:33:37 malan-server sshd[9919]: Bad protocol version identification '' from 198.108.67.48 port 56086

これはどういう意味ですか?

私はインターネットが恐ろしくて恐ろしい場所であり、パブリックIPアドレスが常にボット攻撃の攻撃を受けていることを知っています。しかし、私のルーターはポート9000の接続をサーバーのポート22に転送するように構成されているため、ボット攻撃がどのように存在するかを完全にはわかりません。私が見ると、彼らは65,535の可能なすべてのポートをスキャンするようには思えません。

質問リストを作成します。

  1. とても推測しやすいポートを選んだのでしょうか?より良いポート番号は何ですか?
  2. SSHDログのポート番号はどういう意味ですか?ルータがポート9000をポート22にのみ転送するように設定されている場合、ポート44493にどのようにアクセスしますか?私はポート9000を介してのみアクセスできるので、リストされているポート番号が出ているコンピュータのポートと異なることは明らかですが、私の外部ログインにリストされているポート番号は次のとおりです。いいえ9000
  3. どういう意味ですか[preauth]
  4. どういう意味ですかBad protocol version identification 'REMOTE HI_SRDK_DEV_GetHddInfo MCTP/1.0' from 162.207.145.58 port 48248

ベストアンサー1

  1. 使用できるポートはなく、SSH構成のみが推奨されます。パスワードベースのログインを無効にしてキーベースの認証のみを許可している場合、これらの無差別代入試行は大きなリスクを招きません。ポートノッキングを追加できますが、これはあいまいなセキュリティです。

  2. ログの右側にリストされているポート番号は、動的に割り当てられたソースポートであり、ターゲットシステムではなくソースシステムにあります。

  3. [preauth]接続が認証される前に記録されたイベントが発生したことを意味します。つまりこの場合、認証される前に接続が閉じられます。

  4. 2番目のログセットのすべてのログは、デーモンに送信された非SSHトラフィックに対応します。特に、非標準ポートで受信すると、これが頻繁に発生することがわかります。さまざまなスキャナは、相手が受信していることを知らずに要求を送信します。

スキャンするシステムが正しく接続されている場合や、ボットネットに感染したホストが多い場合は、さまざまなポートでインターネットの大部分をスキャンするのに長い時間がかかりません。バラよりmassscan大規模なスキャンツールの例を見てください。既知のパブリックIPアドレスと循環ポートのリストもあるため、パブリックポート9000を見つけるためにのみスキャンが必要です。

おすすめ記事