(sshd) reverse mapping checking getaddrinfo

  • Hallo zusammen,


    Ich brauche mal wieder etwas Nachhilfe im Thema Server Administration :) Also stelle ich mal eine kleine Verständnisfrage:


    Ich habe mich heute an meinem Server über ssh angemeldet (mit was auch sonst :) ) . Dabei ist mir aufgefallen das der letzte Login von einer mir unebkannten IP Andresse war. Normalerweiße steht dort immer Last Login from XYZ.dip.t-dialin.net, diesmal war es nur eine IP Nummer. Mir ist aber auch klar das ich es selbst war weil die Uhrzeit stimmt mit meinem letzten Login überei, also keine Sorge. Nun habe ich mir mal die Logs angesehen und finde dort folgenden Eintrag für diese Session:


    Code
    Jan  5 19:26:49 v211341XXX sshd[6260]: reverse mapping checking getaddrinfo for pd9e6fce2.dip.t-dialin.net [217.230.252.226] failed - POSSIBLE BREAK-IN ATTEMPT!
    Jan  5 19:26:57 v211341XXX sshd[6260]: Accepted publickey for XYZ from 217.230.252.226 port 38197 ssh2                                     
    Jan  5 19:26:57 v211341XXX sshd[6260]: pam_unix(sshd:session): session opened for user XYZ by (uid=0)                                      
    Jan  5 19:27:31 v211341XXX sshd[6260]: pam_unix(sshd:session): session closed for user XYZ

    Nun will ich mal wissen ob ich diese Geschichte richtig verstehe:
    Ich melde mich von der IP Adresse 217.230.252.226 bei meinem sshd an, dieser macht daraufhin erstmal einen Reverse-
    Lookup auf die IP-Adresse, und auf das Ergebnis wiederum
    einen Lookup was in diesem Fall zu keinem Erfolg führte und ich aus diesem Grund diese Meldung in meinen Logs stehen habe...


    Habe ich das jetzt richtig interpretiert?


    In diesem Sinne

  • Nehmen wir mal an du lässt für deine IP 127.0.0.2 den rDNS Eintrag server12.microsoft.com setzen, was bei den meisten Anbietern (wo die rDNS Einträge nicht von einem Mitarbeiter händisch gesetzt werden wie hier) ohne Probleme gehen würde. Dann würde jeder auf den ersten Blick glauben, dein Server ist von M$. Die normale DNS Auflösung ist für viele Systeme dann einfach eine Überprüfung, ob der IP-Besitzer sich diesen rDNS Eintrag überhaupt nehmen darf. Soll heißen: Wenn ein A-Record bei server12.microsoft.com auf die IP 127.0.0.2 leitet, ist der rDNS Eintrag gültig, da sie der Domaininhaber von microsoft.com angelegt haben muss. Wenn nicht, muss man davon ausgehen, dass der rDNS Eintrag eine Fälschung ist, um sich z.B. durch erlaubte Hosts in Anwendungen Zugriff zu verschaffen, die diese erneute DNS Auflösung vielleicht nicht durchführen. So, verständlich genug? :)



    MfG Christian

    "Wer nur noch Enten sieht, hat die Kontrolle über seine Server verloren." (Netzentenfund)