Queste durate diverse da zero in btmp indicano che qualcuno sta effettuando l'accesso?

Question

Queste durate diverse da zero in btmp indicano che qualcuno sta effettuando l'accesso?

#1 da (1 voti)
#2 da (1 voti)

2

Ho installato un server Debian pubblico su un noto provider di hosting Web e sto cercando di determinare se gli hacker stanno penetrando. So ben poco di proteggere i server web, ma sto cercando di imparare. Ho configurato il mio server per disabilitare login di root su SSH e ho anche disabilitato i login delle password tramite SSH. Tutti gli utenti devono utilizzare l'autenticazione della chiave SSH. Ho anche installato Fail2ban. Ho un account ma non ci sono altri utenti, quindi nessun altro dovrebbe entrare ma me.

Quando eseguo il comando "sudo last -f / var / log / btmp" per visualizzare i tentativi di accesso errati, vedo voci come le seguenti:

ubnt   ssh:notty   <ipaddress1>   <date1> 16:55 - 17:22  (00:27)
admin  ssh:notty   <ipaddress2>   <date2> 11:56 - 16:55  (04:58)
user   ssh:notty   <ipaddress3>   <date3> 07:47 - 08:24  (00:36)
pi     ssh:nottyp  <ipaddress4>   <date4> 10:46 - 11:11  (00:24)

Queste voci indicano davvero che gli hacker sono stati in grado di accedere nonostante le mie precauzioni?

Quello che non capisco è che se eseguo il comando "sudo lastb -f / var / log / btmp", vedrò le stesse voci di sopra tranne che "time in" e "time out" "le voci sono tutte uguali. In altre parole, invece di questo:

# sudo last -f btmp
ubnt   ssh:notty   <ipaddress1>   <date1> 16:55 - 17:22  (00:27)

Questo lo vedo:

# sudo lastb -f btmp
ubnt   ssh:notty   <ipaddress1>   <date1> 16:55 - 16:55  (00:00)

Dopo aver letto la pagina man per ultimo, lastb, il problema potrebbe essere che non dovrei essere in esecuzione l'ultima volta contro btmp ma che dovrei essere in esecuzione lastb contro di esso, invece. Forse solo perché puoi specificare un parametro "-f" per ogni comando, ciò non significa che i comandi siano intercambiabili.

Devo anche aggiungere che non ci sono account nel mio file / etc / passwd con i nomi utente mostrati sopra. Se le persone si collegano ancora a mia insaputa, quali altre cose posso fare per impedirlo?

Grazie.

passwords web-application attacks

posta Jim 15.08.2016 - 18:18

fonte

2 risposte

Leggi altre domande sui tag passwords web-application attacks

Usando un usb per nascondere i log sul computer? Qualunque tecnologia Wifi consente la condivisione sicura e protetta di una connessione Internet?

score 1 · Answer 1

1

btmp è fallito tentativi di accesso. Questi account utente non devono esistere per apparire in quel registro. Se inizi a vedere strane voci in wtmp o utmp, dovresti iniziare a preoccuparti.

risposta data 15.08.2016 - 18:23

fonte

score 1 · Answer 2

BTMP è in effetti, tentativi di accesso falliti. Per darti una migliore comprensione, ecco un esempio di attacco di forza bruta su login di qualcuno da qui :

berrie ssh:notty 121.130.202.148 Thu Jul 2 06:02 - 06:02 (00:00)
berrie ssh:notty 121.130.202.148 Thu Jul 2 06:01 - 06:02 (00:00)
berri ssh:notty 121.130.202.148 Thu Jul 2 06:01 - 06:01 (00:00)
berri ssh:notty 121.130.202.148 Thu Jul 2 06:01 - 06:01 (00:00)
berni ssh:notty 121.130.202.148 Thu Jul 2 06:01 - 06:01 (00:00)
berni ssh:notty 121.130.202.148 Thu Jul 2 06:01 - 06:01 (00:00)
brenice ssh:notty 121.130.202.148 Thu Jul 2 06:01 - 06:01 (00:00)
brenice ssh:notty 121.130.202.148 Thu Jul 2 06:01 - 06:01 (00:00)
berni ssh:notty 121.130.202.148 Thu Jul 2 06:01 - 06:01 (00:00)
berni ssh:notty 121.130.202.148 Thu Jul 2 06:01 - 06:01 (00:00)
bernhard ssh:notty 121.130.202.148 Thu Jul 2 06:01 - 06:01 (00:00)
bernhard ssh:notty 121.130.202.148 Thu Jul 2 06:01 - 06:01 (00:00)
bernardo ssh:notty 121.130.202.148 Thu Jul 2 06:01 - 06:01 (00:00)
bernardo ssh:notty 121.130.202.148 Thu Jul 2 06:01 - 06:01 (00:00)
bernardi ssh:notty 121.130.202.148 Thu Jul 2 06:01 - 06:01 (00:00)
bernardi ssh:notty 121.130.202.148 Thu Jul 2 06:01 - 06:01 (00:00)
bernard ssh:notty 121.130.202.148 Thu Jul 2 06:01 - 06:01 (00:00)
bernard ssh:notty 121.130.202.148 Thu Jul 2 06:01 - 06:01 (00:00)
bernadin ssh:notty 121.130.202.148 Thu Jul 2 06:01 - 06:01 (00:00)
bernadin ssh:notty 121.130.202.148 Thu Jul 2 06:01 - 06:01 (00:00)
bernadin ssh:notty 121.130.202.148 Thu Jul 2 06:01 - 06:01 (00:00)
bernadin ssh:notty 121.130.202.148 Thu Jul 2 06:01 - 06:01 (00:00)
bernadet ssh:notty 121.130.202.148 Thu Jul 2 06:01 - 06:01 (00:00)
bernadet ssh:notty 121.130.202.148 Thu Jul 2 06:01 - 06:01 (00:00)
bernaden ssh:notty 121.130.202.148 Thu Jul 2 06:01 - 06:01 (00:00)
bernaden ssh:notty 121.130.202.148 Thu Jul 2 06:01 - 06:01 (00:00)
berna ssh:notty 121.130.202.148 Thu Jul 2 06:01 - 06:01 (00:00)
berna ssh:notty 121.130.202.148 Thu Jul 2 06:01 - 06:01 (00:00)
berget ssh:notty 121.130.202.148 Thu Jul 2 06:01 - 06:01 (00:00)

Puoi vedere lo stesso IP eccessivo che tenta di accedere e anche le diverse varianti di testo che stanno utilizzando per accedere. È così semplice e dal tuo aspetto non c'è nulla di cui preoccuparsi.

Che cosa puoi fare per evitare che ciò accada, assicurati che le tue password siano il più complesse possibile. Segui questa guida qui per creare tale password . Tieni d'occhio eventuali tentativi futuri, se ce ne sono, e nega loro qualsiasi tipo di accesso al server - segnala il loro IP e configura il tuo firewall per impedire le connessioni in entrata.

Modifica:

In risposta al tuo commento sul mio post, la tua preoccupazione per l'accesso e il soggiorno di qualcuno non sta accadendo nel tuo caso. Non hanno effettuato l'accesso con gli stessi dettagli più volte e nessuno dei due ha utilizzato lo stesso accesso due volte. Quindi, stai bene.