SSH-атаки, как их имена пользователей попадают в auth.log? (pw auth отключен)

Таким образом, этот компьютер доступен на порт 22 (отовсюду).
Поскольку сообщения, указывающие на неудачные попытки входа в систему (имена пользователей, такие как root, cgi, bash, production...), были переполнены /var/log/auth.log, я отключил аутентификацию по паролю с внешних IP-адресов (используя только аутентификацию с открытым ключом).
И это работает, когда я пытаюсь подключиться к этой машине с внешнего IP-адреса (без ключа), я даже не получаю приглашение имени пользователя:

В доступе отказано (publickey).

Так как же все эти фальшивые имена пользователей все еще попадают в auth.log?

  1 Aug  4 17:02:48 host sshd[17190]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=217.116.204.99  user=root
  2 Aug  4 17:02:48 host sshd[17190]: pam_winbind(sshd:auth): getting password (0x00000388)  
  3 Aug  4 17:02:48 host sshd[17190]: pam_winbind(sshd:auth): pam_get_item returned a password  
  4 Aug  4 17:02:48 host sshd[17190]: pam_winbind(sshd:auth): request wbcLogonUser failed: WBC_ERR_AUTH_ERROR, PAM error:

PAM_USER_UNKNOWN (10), NTSTATUS: NT_STATUS_NO_SUCH_USER, ошибка в ошибке 4, возраст был: такого пользователя нет
5 августа 4 17:02:50 host sshd[17190]: сбой пароля для пользователя root от порта 217.116.204.99 40054 ssh2
6 августа 4 17:02:50 host sshd[17190]: Получено отключение от 217.116.204.99: 11: Пока, пока [preauth]
...
513322 7 апреля, 19:45:40 host sshd[15986]: input_userauth_request: недопустимый пользователь cgi [preauth]
...

http://paste.debian.net/92403/

1 ответ

Решение

Хотя вы не вводите имя пользователя, если вы подключаетесь с рабочей станции linux/osx/bsd, имя пользователя неявно (по умолчанию используется имя пользователя, под которым вы вошли), если у вас есть окна и вы используете putty, попробуйте подключиться без установки Авторизуйтесь, введите имя пользователя и введите ключ, он запросит имя пользователя, чтобы попытаться сопоставить пару.

Ключи заменяют только пароли, каждый из которых связан с пользователем (и, следовательно, с именем пользователя), поэтому вы найдете authorized_keys файл под ~/.ssh/,

Вероятно, вы видите, что злоумышленники делают что-то похожее на ssh bash@<your.server.ip>, Сервер видит имя пользователя, но так как он не представляет ключ, ему запрещен доступ.

Другие вопросы по тегам