¿Estas duraciones distintas de cero en btmp indican que alguien está iniciando sesión?

Navega tus respuestas
2

He configurado un servidor Debian público en un conocido proveedor de alojamiento web y estoy tratando de determinar si los piratas informáticos están ingresando. Sé muy poco acerca de cómo proteger los servidores web, pero estoy tratando de aprender. He configurado mi servidor para no permitir inicios de sesión de root a través de SSH y también deshabilité los inicios de sesión de contraseña a través de SSH. Todos los usuarios deben utilizar la autenticación de clave SSH. También he instalado Fail2ban. Tengo una cuenta, pero no hay otros usuarios, por lo que nadie más debería iniciar sesión, excepto yo.

Cuando ejecuto el comando "sudo last -f / var / log / btmp" para ver los intentos incorrectos de inicio de sesión, veo entradas como las siguientes: 

ubnt   ssh:notty   <ipaddress1>   <date1> 16:55 - 17:22  (00:27)
admin  ssh:notty   <ipaddress2>   <date2> 11:56 - 16:55  (04:58)
user   ssh:notty   <ipaddress3>   <date3> 07:47 - 08:24  (00:36)
pi     ssh:nottyp  <ipaddress4>   <date4> 10:46 - 11:11  (00:24)

¿Estas entradas realmente indican que los hackers han podido iniciar sesión a pesar de mis precauciones?

Lo que tampoco entiendo es que si ejecuto el comando "sudo lastb -f / var / log / btmp", veré las mismas entradas que las anteriores, excepto que "time in" y "time out" "todas las entradas son iguales. En otras palabras, en lugar de esto: 

# sudo last -f btmp
ubnt   ssh:notty   <ipaddress1>   <date1> 16:55 - 17:22  (00:27)

Veo esto: 

# sudo lastb -f btmp
ubnt   ssh:notty   <ipaddress1>   <date1> 16:55 - 16:55  (00:00)

Después de leer la página del manual de last, lastb, el problema puede ser que no debería estar ejecutando el último contra btmp, sino que debería estar ejecutando lastb contra él. Quizás solo porque puede especificar un parámetro "-f" para cada comando, eso no significa que los comandos sean intercambiables.

También debo agregar que no hay ninguna cuenta en mi archivo / etc / passwd con los nombres de usuario que se muestran arriba. Si la gente todavía está ingresando sin mi conocimiento, ¿qué otras cosas puedo hacer para evitar esto?

Gracias.

    
pregunta Jim 15.08.2016 - 18:18
fuente

2 respuestas

1

btmp ha fallado intentos de inicio de sesión. Esas cuentas de usuario no tienen que existir para aparecer en ese registro. Si empiezas a ver entradas extrañas en wtmp o utmp, entonces deberías comenzar a preocuparte.

    
respondido por el Jesse Keilson 15.08.2016 - 18:23
fuente
1

BTMP es, de hecho, intentos de inicio de sesión fallidos. Para brindarle una mejor comprensión, este es un ejemplo de un ataque de fuerza bruta en el inicio de sesión de alguien desde here : 

berrie ssh:notty 121.130.202.148 Thu Jul 2 06:02 - 06:02 (00:00)
berrie ssh:notty 121.130.202.148 Thu Jul 2 06:01 - 06:02 (00:00)
berri ssh:notty 121.130.202.148 Thu Jul 2 06:01 - 06:01 (00:00)
berri ssh:notty 121.130.202.148 Thu Jul 2 06:01 - 06:01 (00:00)
berni ssh:notty 121.130.202.148 Thu Jul 2 06:01 - 06:01 (00:00)
berni ssh:notty 121.130.202.148 Thu Jul 2 06:01 - 06:01 (00:00)
brenice ssh:notty 121.130.202.148 Thu Jul 2 06:01 - 06:01 (00:00)
brenice ssh:notty 121.130.202.148 Thu Jul 2 06:01 - 06:01 (00:00)
berni ssh:notty 121.130.202.148 Thu Jul 2 06:01 - 06:01 (00:00)
berni ssh:notty 121.130.202.148 Thu Jul 2 06:01 - 06:01 (00:00)
bernhard ssh:notty 121.130.202.148 Thu Jul 2 06:01 - 06:01 (00:00)
bernhard ssh:notty 121.130.202.148 Thu Jul 2 06:01 - 06:01 (00:00)
bernardo ssh:notty 121.130.202.148 Thu Jul 2 06:01 - 06:01 (00:00)
bernardo ssh:notty 121.130.202.148 Thu Jul 2 06:01 - 06:01 (00:00)
bernardi ssh:notty 121.130.202.148 Thu Jul 2 06:01 - 06:01 (00:00)
bernardi ssh:notty 121.130.202.148 Thu Jul 2 06:01 - 06:01 (00:00)
bernard ssh:notty 121.130.202.148 Thu Jul 2 06:01 - 06:01 (00:00)
bernard ssh:notty 121.130.202.148 Thu Jul 2 06:01 - 06:01 (00:00)
bernadin ssh:notty 121.130.202.148 Thu Jul 2 06:01 - 06:01 (00:00)
bernadin ssh:notty 121.130.202.148 Thu Jul 2 06:01 - 06:01 (00:00)
bernadin ssh:notty 121.130.202.148 Thu Jul 2 06:01 - 06:01 (00:00)
bernadin ssh:notty 121.130.202.148 Thu Jul 2 06:01 - 06:01 (00:00)
bernadet ssh:notty 121.130.202.148 Thu Jul 2 06:01 - 06:01 (00:00)
bernadet ssh:notty 121.130.202.148 Thu Jul 2 06:01 - 06:01 (00:00)
bernaden ssh:notty 121.130.202.148 Thu Jul 2 06:01 - 06:01 (00:00)
bernaden ssh:notty 121.130.202.148 Thu Jul 2 06:01 - 06:01 (00:00)
berna ssh:notty 121.130.202.148 Thu Jul 2 06:01 - 06:01 (00:00)
berna ssh:notty 121.130.202.148 Thu Jul 2 06:01 - 06:01 (00:00)
berget ssh:notty 121.130.202.148 Thu Jul 2 06:01 - 06:01 (00:00)

Puede ver el mismo número de IP excesivos que intentan iniciar sesión y también las diferentes variaciones de texto que utilizan para iniciar sesión. Es así de simple, y por su apariencia no hay nada de qué preocuparse.

Lo que puede hacer para evitar esto es asegurarse de que sus contraseñas sean lo más complejas posible. Siga esta guía aquí para crear dicha contraseña. . Observe cualquier intento futuro, si lo hubiera, y niegue cualquier tipo de acceso al servidor: marque su IP y configure su firewall para evitar conexiones entrantes.

Editar:

En respuesta a su comentario en mi publicación, su preocupación de que alguien se registre y se quede no está ocurriendo en su caso. No han iniciado sesión con los mismos detalles varias veces y tampoco han usado el mismo inicio de sesión dos veces. Así que, estás bien.

    
respondido por el iZodiac 15.08.2016 - 18:29
fuente

Lea otras preguntas en las etiquetas

Esquema de encriptación de nube segura, ¿sabe cuál es el estándar para esto? ¿Qué método de borrado seguro es suficiente para las unidades SSD de MacBook Pro? [duplicar]