btmp показывает мне длительность входа более часа. Как неудачный вход может длиться так долго?

Содержание

Вопрос или проблема
Ответ или решение
Природа неудачных попыток входа
Почему время могло достигнуть 1 часа и 25 минут?
Инструменты для анализа
Заключение

Вопрос или проблема

Я наблюдал за консолью сервера, ожидая результатов своей деятельности, и был подвергнут атаке кем-то, кто пытался сделать GET-запрос на длинный алфавитный список файлов/каталогов. Я проверил lastb и нашел несколько записей, которые я не понимаю.

telecoma ssh:notty    85.209.11.227    Пн Янв 29 14:00 - 14:27  (00:26)
telecoma ssh:notty    85.209.11.227    Пн Янв 29 14:00 - 14:00  (00:00)
root     ssh:notty    85.209.11.227    Пн Янв 29 12:34 - 14:00  (01:25)

Если это неудачные входы в систему, почему тогда последняя запись длилась целый час и 25 минут? Лог собирает целую серию попыток от одного и того же пользователя и просто хранит одну запись? Если да, то насколько близко должны быть попытки, чтобы их сгруппировали, так как, например, первые две записи выглядят так, будто их можно сгруппировать?

Если это так, существует ли инструмент, который мог бы сказать мне, сколько на самом деле попыток было сделано этим пользователем?

В логе lastb период времени (Пн Янв 29 14:00 – 14:27) представляет собой активную сессию, а продолжительность ((00:26)) — это время, в течение которого сессия длилась. Множество неудачных попыток входа могут быть сгруппированы в одну запись, если они происходят в пределах одной сессии, даже если атакующий пытается снова с разными паролями, не отключаясь должным образом.

Ответ или решение

Вопрос о том, как может длиться неудачная попытка входа более часа, часто возникает у специалистов в области ИТ. Давайте разберем, что происходит на вашем сервере и как система ведет учет этих попыток.

Природа неудачных попыток входа

Механизм записи неудачных попыток входа, таких как lastb, фиксирует информацию о всех попытках входа, включая неудачные. В вашем случае вы привели такие записи:

telecoma ssh:notty    85.209.11.227    Mon Jan 29 14:00 - 14:27  (00:26)
telecoma ssh:notty    85.209.11.227    Mon Jan 29 14:00 - 14:00  (00:00)
root     ssh:notty    85.209.11.227    Mon Jan 29 12:34 - 14:00  (01:25)

Здесь важно отметить, что время, указанное в колонке, представляет собой период, в течение которого сессия была активной. Для понимания нужно учитывать несколько факторов:

Активная сессия: Даже если в какой-то момент происходят неудачные попытки входа, если соединение остается открытым, время будет продолжать накапливаться.
Группировка записей: Да, система может сгруппировать множественные попытки входа под одним временным интервалом, если они происходили в рамках одной активной сессии. Это значит, что если злоумышленник продолжает вводить неправильные пароли без разрыва соединения, все попытки будут записаны как единый сеанс.
Расстояние между попытками: Для того, чтобы попытки логировались в рамках одной сессии, между ними должно быть всего несколько секунд или минут. Механизм может различаться в зависимости от настроек вашей системы, но обычно значение, в пределах которого записи объединяются, составляет несколько минут.

Почему время могло достигнуть 1 часа и 25 минут?

Толкование времени в вашем случае следует рассматривать с точки зрения активной сессии. Запись для пользователя root с IP-адресом 85.209.11.227, которая длилась 1 час 25 минут, не обязательно означает, что это время было потрачено на неудачные входы. Возможно, что в этот период время активно использовалось для атак — даже если неудачные попытки входа были сделаны, они не завершали сессию, и в системе все еще фиксировались временные интервалы с активностью.

Инструменты для анализа

Если вы хотите получить более детальные отчеты о количестве попыток входа, существует несколько инструментов и утилит:

Fail2Ban: Этот инструмент может отслеживать и реагировать на повторяющиеся неудачные попытки входа, блокируя IP-адреса злоумышленников.
Logwatch или аналогичные утилиты: Они могут создать отчеты на основе логов системы, включая файлы /var/log/auth.log или /var/log/secure.
Настройка уровня логирования: Убедитесь, что ваша система настроена для сведения об успешных и неудачных попытках входа, чтобы обеспечить полное понимание поведения атакующих.

Заключение

Ваша ситуация указывает на то, что злоумышленник может использовать автоматические средства, чтобы попытаться найти уязвимости в системе. Важно следить за такими логами и использовать инструменты для мониторинга и предотвращения атак, чтобы защитить ваши серверы. Если вы обнаружите, что такие атаки происходят регулярно, стоит рассмотреть возможность применения более жестких мер безопасности, таких как двухфакторная аутентификация и настройка более строгих правил доступа.