Siéntete en la libertad de divulgar nuestra web y códigos con otro, ayúdanos a ampliar esta comunidad.
Solución:
Solución 1:
Desafortunadamente, esto ahora es una ocurrencia muy común. Es un ataque automatizado a SSH que utiliza nombres de usuario “comunes” para intentar acceder a su sistema. El mensaje significa exactamente lo que dice, no significa que haya sido pirateado, solo que alguien lo intentó.
Solución 2:
La parte “POSIBLE INTENTO DE INTERRUPCIÓN” específicamente está relacionada con la parte “falló la verificación de mapeo inverso getaddrinfo”. Significa que la persona que se estaba conectando no tenía el DNS de avance y retroceso configurado correctamente. Esto es bastante común, especialmente para las conexiones de ISP, que es de donde probablemente provenía el “ataque”.
Sin relación con el mensaje “POSIBLE INTENTO DE INTERRUPCIÓN”, la persona en realidad está tratando de ingresar utilizando nombres de usuario y contraseñas comunes. No utilice contraseñas simples para SSH; de hecho, la mejor idea es deshabilitar las contraseñas por completo y usar SSH keys solamente.
Solución 3:
“¿Qué significa exactamente “POSIBLE INTENTO DE ROBO”?”
Esto significa que el propietario del netblock no actualizó el registro PTR para un static IP dentro de su rango, y dicho registro PTR está desactualizado, O un ISP no configura registros inversos adecuados para sus clientes de IP dinámica. Esto es muy común, incluso para los grandes ISP.
Termina recibiendo el mensaje en su registro porque alguien que proviene de una IP con registros PTR incorrectos (debido a una de las razones anteriores) está tratando de usar nombres de usuario comunes para probar SSH en su servidor (posiblemente ataque de fuerza bruta, o tal vez un error honesto) ).
Para deshabilitar estas alertas, tiene dos opciones:
1) Si tienes un static IPagregue su mapeo inverso a su archivo /etc/hosts (vea más información aquí):
10.10.10.10 server.remotehost.com
2) Si tienes una IP dinámica y realmente desea que esas alertas desaparezcan, comente “GSSAPIAuthentication yes” en su archivo /etc/ssh/sshd_config.
Solución 4:
Puede hacer que sus registros sean más fáciles de leer y verificar desactivando las búsquedas inversas en sshd_config (UseDNS no). Esto evitará que sshd registre las líneas de “ruido” que contienen “POSIBLE INTENTO DE INTERRUPCIÓN”, lo que le permite concentrarse en las líneas un poco más interesantes que contienen “Usuario no válido USUARIO de IPADDRESS”.
Solución 5:
No es necesario un inicio de sesión exitoso, sino lo que dice “posible” e “intento”.
Algún chico malo o script kiddie, te está enviando tráfico elaborado con un false IP de origen.
Puede agregar limitaciones de IP de origen a su SSH keyse intente algo como fail2ban.
valoraciones y reseñas
Recuerda recomendar esta noticia si si solucionó tu problema.