Inicios de sesión fallidos muy espaciados en auth.log

Navega tus respuestas
3

Tengo una frambuesa-pi (que ejecuta GNU / Linux) y recientemente permití que mi enrutador reenvíe el puerto 22 (ssh) a la frambuesa-pi para poder iniciar sesión mientras estoy lejos de casa.

Luego noté un montón de intentos de ingreso aparentes (inicios de sesión de raíz fallidos provenientes de una dirección IP china) en auth.log, y tengo un par de preguntas sobre la sincronización de los inicios de sesión de raíz fallidos.

Aquí hay un fragmento de mi archivo /var/log/auth.log (el primer número es solo el número de línea de vi): 

5966 Sep  7 11:50:19 raspberrypi sshd[13759]: Failed password for root from 122.225.103.125 port 34328 ssh2
5967 Sep  7 11:50:20 raspberrypi sshd[13755]: Failed password for root from 122.225.103.125 port 32582 ssh2
5968 Sep  7 11:50:20 raspberrypi sshd[13763]: Failed password for root from 122.225.103.125 port 35381 ssh2
5969 Sep  7 11:50:21 raspberrypi sshd[13759]: Failed password for root from 122.225.103.125 port 34328 ssh2
5970 Sep  7 11:50:22 raspberrypi sshd[13763]: Failed password for root from 122.225.103.125 port 35381 ssh2
5971 Sep  7 11:50:24 raspberrypi sshd[13767]: Failed password for root from 122.225.103.125 port 39706 ssh2
5972 Sep  7 11:50:24 raspberrypi sshd[13763]: Failed password for root from 122.225.103.125 port 35381 ssh2
5973 Sep  7 11:50:25 raspberrypi sshd[13771]: Failed password for root from 122.225.103.125 port 40360 ssh2
5974 Sep  7 11:50:26 raspberrypi sshd[13767]: Failed password for root from 122.225.103.125 port 39706 ssh2
5975 Sep  7 11:50:26 raspberrypi sshd[13771]: Failed password for root from 122.225.103.125 port 40360 ssh2
5976 Sep  7 11:50:28 raspberrypi sshd[13767]: Failed password for root from 122.225.103.125 port 39706 ssh2
5977 Sep  7 11:50:28 raspberrypi sshd[13775]: Failed password for root from 122.225.103.125 port 41540 ssh2
5978 Sep  7 11:50:29 raspberrypi sshd[13771]: Failed password for root from 122.225.103.125 port 40360 ssh2
5979 Sep  7 11:50:31 raspberrypi sshd[13775]: Failed password for root from 122.225.103.125 port 41540 ssh2
5980 Sep  7 11:50:31 raspberrypi sshd[13767]: Failed password for root from 122.225.103.125 port 39706 ssh2
5981 Sep  7 11:50:31 raspberrypi sshd[13771]: Failed password for root from 122.225.103.125 port 40360 ssh2
5982 Sep  7 11:50:33 raspberrypi sshd[13775]: Failed password for root from 122.225.103.125 port 41540 ssh2
5983 Sep  7 11:50:33 raspberrypi sshd[13771]: Failed password for root from 122.225.103.125 port 40360 ssh2
5984 Sep  7 11:50:34 raspberrypi sshd[13767]: Failed password for root from 122.225.103.125 port 39706 ssh2
5985 Sep  7 11:50:35 raspberrypi sshd[13775]: Failed password for root from 122.225.103.125 port 41540 ssh2
5986 Sep  7 11:50:35 raspberrypi sshd[13771]: Failed password for root from 122.225.103.125 port 40360 ssh2
5987 Sep  7 11:50:36 raspberrypi sshd[13767]: Failed password for root from 122.225.103.125 port 39706 ssh2
5988 Sep  7 11:50:37 raspberrypi sshd[13775]: Failed password for root from 122.225.103.125 port 41540 ssh2
5989 Sep  7 11:50:38 raspberrypi sshd[13779]: Failed password for root from 122.225.103.125 port 46112 ssh2
5990 Sep  7 11:50:39 raspberrypi sshd[13775]: Failed password for root from 122.225.103.125 port 41540 ssh2

Y, aquí hay un fragmento de mi archivo /etc/pam.d/login (el primer número es solo el número de línea de vi): 

9 auth       optional   pam_faildelay.so  delay=3000000

Como puede ver, la demora se establece en pam.d / login en tres segundos ... Sin embargo, los inicios de sesión de raíz fallidos se producen con aproximadamente 1 segundo de diferencia. ¿Cómo es esto posible? ¿Es porque los inicios de sesión vienen de diferentes puertos o ttys? Además, cuando trato de emular este comportamiento yo mismo ingresando la contraseña de la raíz incorrecta, encuentro que después de tres intentos me desconecto y esto aparece en auth.log como: 

231 Sep 17 11:51:57 raspberrypi sshd[17591]: Failed password for root from 192.168.42.71 port 34208 ssh2
232 Sep 17 11:52:01 raspberrypi sshd[17591]: Failed password for root from 192.168.42.71 port 34208 ssh2
233 Sep 17 11:52:04 raspberrypi sshd[17591]: Failed password for root from 192.168.42.71 port 34208 ssh2
234 Sep 17 11:52:04 raspberrypi sshd[17591]: Connection closed by 192.168.42.71 [preauth]

Mis tres intentos fallidos están separados por al menos 3 segundos (como se especifica en pam.d / login). ¿Cómo es posible que quienquiera que esté tratando de intervenir realice más de un intento cada tres segundos y por qué no se cierra la conexión después de tres intentos fallidos?

Cualquier ayuda para entender este comportamiento sería muy apreciada. Siéntase libre de dar referencias si no está de humor para escribir una respuesta. Oh, también, si alguien tiene alguna idea de cómo se orientó mi dirección IP o si es aleatorio, me interesaría saberlo.

    
pregunta hft 17.09.2014 - 21:21
fuente

2 respuestas

1

Como lo señalan los apsillers en el comentario, lo que está viendo son múltiples conexiones TCP desde la misma dirección IP. Si agrupa los números de puerto de origen, podrá ver que cada conexión está realizando un intento de inicio de sesión a una velocidad máxima de uno por dos segundos: 

5967 Sep  7 11:50:20 .... sshd[13755]: Failed .... from 122.225.103.125 port 32582 ssh2

5966 Sep  7 11:50:19 .... sshd[13759]: Failed .... from 122.225.103.125 port 34328 ssh2
5969 Sep  7 11:50:21 .... sshd[13759]: Failed .... from 122.225.103.125 port 34328 ssh2

5968 Sep  7 11:50:20 .... sshd[13763]: Failed .... from 122.225.103.125 port 35381 ssh2
5970 Sep  7 11:50:22 .... sshd[13763]: Failed .... from 122.225.103.125 port 35381 ssh2
5972 Sep  7 11:50:24 .... sshd[13763]: Failed .... from 122.225.103.125 port 35381 ssh2

5971 Sep  7 11:50:24 .... sshd[13767]: Failed .... from 122.225.103.125 port 39706 ssh2
5974 Sep  7 11:50:26 .... sshd[13767]: Failed .... from 122.225.103.125 port 39706 ssh2
5976 Sep  7 11:50:28 .... sshd[13767]: Failed .... from 122.225.103.125 port 39706 ssh2
5980 Sep  7 11:50:31 .... sshd[13767]: Failed .... from 122.225.103.125 port 39706 ssh2
5984 Sep  7 11:50:34 .... sshd[13767]: Failed .... from 122.225.103.125 port 39706 ssh2
5987 Sep  7 11:50:36 .... sshd[13767]: Failed .... from 122.225.103.125 port 39706 ssh2

La razón por la que la misma dirección IP puede realizar varias conexiones SSH es porque se están abriendo varios terminales al mismo tiempo. Debería poder observar lo mismo activando tres terminales, ejecutar ssh root@localhost y presionar ingresar a la solicitud de contraseña.

Para sus ajustes de configuración de PAM, debería estar mirando /etc/pam.d/sshd en lugar de /etc/pam.d/login . Además, desde la página de manual de pam.d , dice:

  

opcional
      el éxito o el fracaso de este módulo solo es importante si es el único módulo en la pila asociado con este tipo de servicio +.

No, su dirección IP no es la única dirigida. Es un escaneo automatizado por varias computadoras comprometidas principalmente en China. Esta es una lista de direcciones IP que apuntan al puerto 22 que he recopilado en unos pocos días: 

61.174.50.184
61.174.50.213
61.174.51.194
61.174.51.197
61.174.51.198
61.174.51.202
61.174.51.203
61.174.51.209
61.174.51.210
61.174.51.216
61.174.51.217
61.174.51.218
61.174.51.219
61.174.51.221
61.174.51.224
61.174.51.229
61.174.51.233

114.80.246.144

116.10.191.162
116.10.191.163
116.10.191.165
116.10.191.167
116.10.191.168
116.10.191.169
116.10.191.171
116.10.191.174
116.10.191.176
116.10.191.177
116.10.191.179
116.10.191.180
116.10.191.181
116.10.191.186
116.10.191.187
116.10.191.189
116.10.191.190
116.10.191.194
116.10.191.195
116.10.191.199
116.10.191.201
116.10.191.202
116.10.191.203
116.10.191.206
116.10.191.208
116.10.191.214
116.10.191.215
116.10.191.217
116.10.191.218
116.10.191.220
116.10.191.224
116.10.191.229
116.10.191.231
116.10.191.235
116.10.191.236

117.21.173.140
117.21.227.58

122.225.103.125 <= WENZHOU GAOJIE TECHNOLOGY CO.LTD

122.225.109.100

122.225.109.103
122.225.109.104
122.225.109.107

122.225.109.195
122.225.109.196
122.225.109.203
122.225.109.205
122.225.109.216
122.225.109.218
122.225.109.220
122.225.109.221

183.60.202.238

183.110.253.233

183.136.213.180

222.186.21.78
222.186.52.160
222.186.56.7
222.186.56.76
222.186.56.119

223.255.205.201

Para su caso particular, si tiene tiempo de sobra, puede contactar a Shengzhong Liu de WENZHOU GAOJIE TECHNOLOGY CO.LTD al + 86-13738375522 (del registro de whois ) para hacerle saber que uno de sus Las computadoras están comprometidas. Alternativamente, puede considerar cambiar ssh a otro puerto y deshabilitar el inicio de sesión de raíz para evitar el acoso.

    
respondido por el Question Overflow 18.09.2014 - 04:37
fuente
1

Estoy publicando esta nueva respuesta a mi pregunta porque una parte de mi pregunta original no se abordó por completo. Específicamente, qué tipo de herramienta se podría usar para hacer tantos intentos de conexión, aparentemente más rápido que el tiempo de retardo mínimo que había establecido en mi configuración pam.

Bueno, parece que se utilizó una herramienta como hidra (ver www.thc.org). Para verificar esto, instalé Kali Linux (que viene con hydra) en una máquina de repuesto y usé hydra para intentar forzar la contraseña de root en mi pi raspberry.

El archivo auth.log resultante es muy similar al ataque real; tiene más intentos de inicio de sesión que uno cada tres segundos ... Todavía no estoy seguro de cómo se logra esto en la hidra, pero me siento bastante seguro de que se usó una herramienta similar a (o igual a) la hidra para el ataque.

Finalmente, para aumentar la seguridad de mi pi hice algunos cambios en el sistema. Configuré e inicié el servicio de firewall "UFW". Instalé e inicié el servicio "fail2ban". Y, finalmente, cambié de autenticación de contraseña a claves SSH.

Ah ... me siento mucho mejor ahora.

    
respondido por el hft 02.03.2015 - 07:46
fuente

Lea otras preguntas en las etiquetas

¿Por qué la * propiedad en el modelo de seguridad BPL se llama "estrella"? Desbloqueo de cookies explicado