sshd[]: Could not reverse map address 123.456.123.456

[dea]

Soll das ein Angriff sein/werden oder was? Kann mir einer erklären, was die Meldung genau zu bedeuten hat bzw. wo deren Hintergründe liegen?

Alles was ich bislang über google gefunden habe war, dass es für diese IP Adresse keinen PTR in der entsprechenden *.in-addr.arpa gibt - hat ja heutzutage nicht allzuviel zu sagen :/ Merkwürdig ist halt nur, dass ich diese Meldungen (so grob 50 mal im Abstand von ca. 7 Sekunden) zum ersten mal in den Logs meines rooties sehe ... :ratlos:

[wirsing]

Wenn der sshd sowas ausspuckt muss das ein Programmfehler sein - diese IP-Adresse *kann* es gar nicht geben, da die einzelnen Bytes - wie der Name vermuten lässt - auf den Bereich von 0-255 beschränkt sind.
Dass du die Adresse abgeändert hast, will ich einmal nicht annehmen.

[wgot]

Hallo,

ich geh mal davon aus, daß die IP anonymisiert ist.
Wenn ich mich testweise mit falschem Passwort einloggen will, bekomme ich eine Meldung in /var/log/messages (Suse):

Code: Select all

<Datum> <Servername> sshd[...]: Failed password for <user> from <ip> port <port> ssh2

Hast Du solche Meldungen?

Die Interpretation von sshd: could not reverse... halte ich für richtig, da hat einer ohne RDNS versucht sich einzuloggen.

Ist die IP aus dem IP-Pool Deine Einwahlproviders? Wenn nicht, versuche die IP grob einem Provider oder Land zuzuordnen.

Könnte ein Angriff gewesen sein oder eine Panne. Die Häufigkeit spricht IMHO für einen Angriffsversuch. Wenn sich root nicht direkt einloggen kann oder zumindest ein wasserdichtes Passwort hat und keine dämlichen Testuser mit Primitivpasswörtern existieren dürfte aber nix zu holen sein.

Gruß, Wolfgang

[outofbound]

123 456 sieht schon sehr "geändert" aus...

Isses denn ne Live- IP, bzw. woher kommt die?

Vielleicht hat dich ja der Witty- Worm zufällig erwischt und ein paar Sachen
ausprobiert.

[captaincrunch]

Und ich hatte mich schon gefragt, ob ich der einzige bin, der mehrere Conenctions in den Logs habe, die von einer IP verursacht wurden. ;)

Bei mir ging das ganze sogar noch weiter mit "Did not receive identification string from [...]", was in der Menge auch noch nicht vorkam.

[chris76]

Ich hatte auch diese login versuche auf meinen beiden Servern.

[dea]

Hoi, Danke für die Rückmeldungen :)

Also, die Adresse hab' ich anonymisiert. Hauptsächlich, um von ihr abzulenken. Es ist jedoch immer dieselbe und es scheint keine Dial-In Adresse zu sein (aber eine aus dem Raum wo abuse@ nach /dev/null umgeleitet wird :( )

Da ich keine Passwort-Authentisierung zulasse fehlen natürlich entsprechende Fehlermeldungen. Allerdings, und das bringt mich schwer ans Grübeln, beginnt der Vorfall mit einer einzigen Meldung "Did not receive identification string from...", gefolgt von den geschilderten Meldungen des sshd.

Normalerweise erhalte ich ca. 3-10 "Did not receive identification string from..." in der Woche, diese Versuche kenne ich also. Merkwürdig und auffällig sind diesmal allerdings die darauffolgenden "Could not reverse map...".

Ich stufe das jetzt (mutwillig) zunächst als erfolglosen Angriffsversuch (wahrscheinlich Brute Force mit gespoofter IP Adresse) ein, frage mich allerdings immer noch, warum ich nur einen erfolglosen Anmeldeversuch gemeldet bekomme und nicht pro "Could not reverse map..." ein "Did not receive...".

Ach so, "witty" halte ich für unwahrscheinlich. Nach der Beschreibung von Symantec versucht er, auf ICQ Clients zuzugreifen und bei mir war es zumindest ein gezielter Anmeldeversuch auf SSH2.

[dodolin]

Did not receive identification string from...

... deutet auf einen simplen Portscan hin.
Kannst du auch mal mit einem telnet auf den SSH Port nachprüfen. Heißt, dass es zwar eine Verbindung, aber keinen SSH Schlüsselaustausch gab.

Could not reverse map...

Heißt einfach, dass die Sender-IP keinen Reverse DNS Eintrag besitzt. Dein SSHD macht scheinbar immer einen RDNS Lookup. Man kann AFAIK auch einstellen, ob er Clients ohne RDNS Eintrag grundsätzlich den Login verwehren soll. Eventuell hast du das aktiviert bzw. ist das standardmäßig aktiviert, sodass er eben einen RDNS Check machen muss.

und nicht pro "Could not reverse map..." ein "Did not receive...".

Eventuell werden Portscans ("Did not receive...") immer geloggt, während die RDNS Prüfung erst nach Aufbau der SSH-Verbindung (Schlüsselaustausch, etc.) gemacht wird und daher bei simplen Portscans nicht zum tragen kommt?

warum ich nur einen erfolglosen Anmeldeversuch gemeldet bekomme

Hier liegt wohl ein Missverständnis vor.
Du sagtest, du hattest nur einmal ein "Did not receive", korrekt? Das ist kein "erfolgloser Anmeldeversuch", sondern ein Portscan.[/code]

[dea]

Could not reverse map...

Heißt einfach, dass die Sender-IP keinen Reverse DNS Eintrag besitzt. Dein SSHD macht scheinbar immer einen RDNS Lookup. Man kann AFAIK auch einstellen, ob er Clients ohne RDNS Eintrag grundsätzlich den Login verwehren soll. Eventuell hast du das aktiviert bzw. ist das standardmäßig aktiviert, sodass er eben einen RDNS Check machen muss.

Hatte ich nicht aktiviert, ist jetzt aber aktiv. Macht die Angelegenheit aber eher seltsamer...

warum ich nur einen erfolglosen Anmeldeversuch gemeldet bekomme

Hier liegt wohl ein Missverständnis vor.
Du sagtest, du hattest nur einmal ein "Did not receive", korrekt? Das ist kein "erfolgloser Anmeldeversuch", sondern ein Portscan.[/code]

[/quote]

Jau - ich hatte diese Meldungen immer auch als Hinweis auf einen fehlgeschlagenen Anmeldeveruch interpretiert. Eben ausprobiert und meinen Irrtum erkannt :oops:

Muss mich wohl noch mehr mit der Konfiguration des sshd auseinandersetzen *grr*