Я думаю, кто-то пытался меня взломать

root@host [/var/log]# tail -f secure Jan 3 20:16:10 host sshd[22670]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=61.142.131.120 user=root Jan 3 20:16:12 host sshd[22670]: Failed password for root from 61.142.131.120 port 9303 ssh2 Jan 3 20:16:15 host sshd[22670]: Failed password for root from 61.142.131.120 port 9303 ssh2 Jan 3 20:16:18 host sshd[22670]: Failed password for root from 61.142.131.120 port 9303 ssh2 Jan 3 20:16:18 host sshd[22684]: Disconnecting: Too many authentication failures for root Jan 3 20:16:18 host sshd[22670]: PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=61.142.131.120 user=root Jan 3 20:16:26 host sshd[23127]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=61.142.131.120 user=root Jan 3 20:16:28 host sshd[23127]: Failed password for root from 61.142.131.120 port 33913 ssh2 Jan 3 20:16:29 host sshd[23127]: Failed password for root from 61.142.131.120 port 33913 ssh2 Jan 3 20:16:30 host sshd[23154]: Connection closed by 61.142.131.120 

61.142.131.120 НЕ является моим IP. Поэтому я не знаю, кто этот парень. Более того, я не могу войти в систему как root. Мне повезло, что мне удалось войти в систему один раз. Теперь, даже после того, как я перешел на смену пароля, я все равно не могу войти ни в whm, ни в root.

Уведомление о сбое пароля в безопасном режиме продолжается, даже если я больше не пытаюсь входить в систему.

Наконец, все работает снова, но со странным журналом

 Jan 3 20:21:51 host sshd[1252]: reverse mapping checking getaddrinfo for fm-dyn-139-193-157-62.fast.net.id [139.193.157.62] failed - POSSIBLE BREAK-IN ATTEMPT! Jan 3 20:21:55 host sshd[1252]: Accepted password for root from 139.193.157.62 port 29144 ssh2 Jan 3 20:21:55 host sshd[1252]: pam_unix(sshd:session): session opened for user root by (uid=0) 

Что это означает, что getaddrinfo не работает?

Вероятно, getaddrinfo ссылается на проверку sshd . Когда вы пытаетесь запустить ssh в систему, он запускает обратный поиск DNS на вашем IP-адресе, чтобы узнать, соответствует ли он тем, кто вы говорите. По сути, это попытка предотвратить спуфинг.

Эти журналы выглядят как какая-то атака. Это не обязательно предназначено; люди пытаются просто случайным образом проникнуть в системы с помощью автоматизированных инструментов. По этой причине вы никогда не должны разрешать входные пароли root по ssh . Действительно, PermitRootLogin в sshd_config должен быть установлен на no . Если вы абсолютно должны входить в систему с root на ssh (это почти никогда не бывает, иногда вам нужно, чтобы программа могла удаленно управлять вашим компьютером, но вы обычно этого не делаете), настройте SSH-ключи на своей персональной машине и установите открытый ключ в /root/.ssh/authorized_keys на удаленном компьютере. Отключите пароли root root, изменив PermitRootLogin на without-password в sshd_config . Опять же, это, вероятно, должно быть установлено no .

Дополнительная информация об этих типах атак: «ВОЗМОЖНАЯ ПЕРЕМЕЩЕНИЕ ВПЕРЕДИ!» В / var / log / secure – что это значит?

Эта…

 Jan 3 20:21:51 host sshd[1252]: reverse mapping checking getaddrinfo for fm-dyn-139-193-157-62.fast.net.id [139.193.157.62] failed - POSSIBLE BREAK-IN ATTEMPT! 

… похоже, что это относится к этому

С другой стороны, вы действительно должны запретить вход в систему root. Если у вас нет доступа root к вашему компьютеру, вы должны подумать о сохранении всех ваших файлов на USB-накопителе или что-то еще и переустановке вашего дистрибутива; лучше быть в безопасности и не рисковать.