sshログインすると「POSSIBLE BREAK-IN ATTEMPT!」のエラー表示

2021-07-02

sshログイン時に「but this does not map back to the address – POSSIBLE BREAK-IN ATTEMPT!」と表示される

sshでログインすると下記のように「but this does not map back to the address – POSSIBLE BREAK-IN ATTEMPT!」て感じでエラーが表示されます。

Address x.x.x.x maps to www.example.com, but this does not map back to the address - POSSIBLE BREAK-IN ATTEMPT!
Last login: Tue Sep 11 11:00:00 2018 from x.x.x.x.example.net

このサーバーですが、自前でECサイトを構築しており、その後ASP側のECサイト移行しました。
その際にDNS逆引きを以前に構築していたECサイトのドメインにしており、逆引き DNS (PTR) レコードが一致しない為エラーとなっていたようです。逆引きをこのサーバで運用しているレコードに変更したらエラーはなくなりました

/var/log/secureでの「POSSIBLE BREAK-IN ATTEMPT」の場合

「/var/log/secure」ログで、下記のように「POSSIBLE BREAK-IN ATTEMPT」のログが吐き出されている場合は、sshd へのブルートフォース攻撃の可能性があります。

$ sudo grep "POSSIBLE BREAK-IN ATTEMPT" /var/log/secure | more
Nov 18 05:38:29 www01 sshd[29308]: reverse mapping checking getaddrinfo for host 190-117-211-80.serverdedicati.aruba.it [xxx.xxx.xxx.xxx] failed - POSSIBLE BREAK-IN ATTEMPT!
Nov 18 05:38:34 www01 sshd[29312]: reverse mapping checking getaddrinfo for host 190-117-211-80.serverdedicati.aruba.it [xxx.xxx.xxx.xxx] failed - POSSIBLE BREAK-IN ATTEMPT!
Nov 18 05:38:38 www01 sshd[29314]: reverse mapping checking getaddrinfo for host 190-117-211-80.serverdedicati.aruba.it [xxx.xxx.xxx.xxx] failed - POSSIBLE BREAK-IN ATTEMPT!
Nov 18 05:38:42 www01 sshd[29316]: reverse mapping checking getaddrinfo for host 190-117-211-80.serverdedicati.aruba.it [xxx.xxx.xxx.xxx] failed - POSSIBLE BREAK-IN ATTEMPT!

このサーバですが、SSHポートを変更したかったのですが、サーバーを利用している業者がSCPクライアントでWEBコンテンツのアップロード等をしておりSSHポート変更するのが難しくSSHポートはデフォルトのままですので、SSHポートへの攻撃が多いかと思います

「/var/log/secure」ログで「POSSIBLE BREAK-IN ATTEMPT」をキーにしてIPアドレスで集計してみと下記の結果に

cat /var/log/secure* | grep "POSSIBLE BREAK-IN ATTEMPT" | grep "failed" | awk '{print $12}' | sort | uniq -c| sort -nr|head -10 
    520 [x.x.x.x]
    216 [x.x.x.x]
    172 [x.x.x.x]
    140 [x.x.x.x]
    122 [x.x.x.x]
    113 [x.x.x.x]
     99 [x.x.x.x]
     85 [x.x.x.x]
     79 [x.x.x.x]
     74 [x.x.x.x]

SSHの不正ログイン対策

SSHでの不正ログインが多いので、結構アタックがきています。対策としては以下の対策があります

  1. SSHポートを22番ポートを違う番号にする
  2. /etc/hosts.deny に今拒否するIPアドレスを追加していく
  3. F/Wのiptables等で、接続を拒否するIPアドレスを追加していく

SSHポート変更は、サーバーを利用している業者に説明が必要なので難しいので、iptableに追加していきます。

「/var/log/secure」で「POSSIBLE BREAK-IN ATTEMPT」の文言を含むIPアドレスを集計して、上位10個のIPアドレスをiptableで追加していきます

# 「POSSIBLE BREAK-IN ATTEMPT」の文言を含むIPアドレスを集計して、上位10個のIPアドレスを表示
$ sudo cat /var/log/secure* | grep "POSSIBLE BREAK-IN ATTEMPT" | grep "failed" | awk '{print $12}' | sort | uniq -c| sort -nr|head -10
    520 [x.x.x.x]
    216 [x.x.x.x]
    172 [x.x.x.x]
    140 [x.x.x.x]
    122 [x.x.x.x]
    113 [x.x.x.x]
     99 [x.x.x.x]
     85 [x.x.x.x]
     79 [x.x.x.x]
     74 [x.x.x.x]

# 上位10個のIPアドレスをDROPする設定を追加していきます
$ sudo iptables -I INPUT -s x.x.x.x -j DROP

# 追加した内容を保存します
$ sudo/etc/init.d/iptables save

根本的な対策になっていませんが、応急処置で対応してみました

LinuxCentOS 6

Posted by admin