sshd журнал, повний "Не отримав ідентифікаційний рядок від"

Mar  2 02:34:02 freetalker3 sshd[28436]: Did not receive identification string from 211.110.33.50
Mar  2 02:34:08 freetalker3 sshd[28439]: Did not receive identification string from 211.110.33.50
Mar  2 02:34:13 freetalker3 sshd[28442]: Did not receive identification string from 211.110.33.50
Mar  2 02:34:19 freetalker3 sshd[28445]: Did not receive identification string from 211.110.33.50
Mar  2 02:34:24 freetalker3 sshd[28448]: Did not receive identification string from 211.110.33.50
Mar  2 02:34:30 freetalker3 sshd[28451]: Did not receive identification string from 211.110.33.50
Mar  2 02:34:35 freetalker3 sshd[28454]: Did not receive identification string from 211.110.33.50
Mar  2 02:34:41 freetalker3 sshd[28457]: Did not receive identification string from 211.110.33.50
Mar  2 02:34:46 freetalker3 sshd[28460]: Did not receive identification string from 211.110.33.50
Mar  2 02:34:52 freetalker3 sshd[28463]: Did not receive identification string from 211.110.33.50
Mar  2 02:34:57 freetalker3 sshd[28466]: Did not receive identification string from 211.110.33.50
Mar  2 02:35:03 freetalker3 sshd[28469]: Did not receive identification string from 211.110.33.50
Mar  2 02:35:08 freetalker3 sshd[28472]: Did not receive identification string from 211.110.33.50
Mar  2 02:35:14 freetalker3 sshd[28475]: Did not receive identification string from 211.110.33.50
Mar  2 02:35:20 freetalker3 sshd[28478]: Did not receive identification string from 211.110.33.50
Mar  2 02:35:25 freetalker3 sshd[28481]: Did not receive identification string from 211.110.33.50
Mar  2 02:35:31 freetalker3 sshd[28484]: Did not receive identification string from 211.110.33.50
Mar  2 02:35:36 freetalker3 sshd[28488]: Did not receive identification string from 211.110.33.50

Мій /var/log/auth.log переповнений цими повідомленнями, що спамуються кожні 6 секунд. мій сервер знаходиться на vps, і ip здається, що це внутрішній ip. що може бути причиною цього питання?

Якийсь зловмисник (здивування!) Забиває ssh, щоб спробувати знайти ім’я користувача / пароля, що потрапляє в систему. Можливо, хтось із ботнетів робить те саме, хто знає, скільки інших нічого не підозрюючих жертв.

Встановіть щось на кшталт fail2ban або DenyHosts (деякі з них повинні бути доступні для будь-якого дистрибутива Linux) або встановіть локальний брандмауер, щоб обмежити спроби з'єднання SSH. Зміна порту SSH робить тупу грубу силу намагатися не вдатися, але це також робить законні використання невдало.

Власне, це було від мого провайдера хостингу - вони спамували мій VPS кожні 6 секунд, щоб показувати стан мого сервера на їх веб-консолі. Мій сервер відображається як активний, якщо мій sshd відповідає на них.

Я щойно встановив OpenVPN і дозволив SSH тільки через це - так, за словами моїх провайдерів, мій сервер може похвалитися 100% простоєм.

Це, швидше за все, збереження (перевіряючи, чи відповідає сервер) від кому. пристрій.

Такі повідомлення передаються SSH, коли хтось намагався отримати доступ до нього, але не закінчив кроки. Наприклад, якщо NMS перевіряє, чи не працює порт ssh 22, він просто спробує підключитися до порту 22, і якщо з'єднання буде успішним, воно зависне, і в таких випадках SSH повідомляє те саме.

Так це через сканування порту SSH.

Спробуйте змінити порт ssh з 22 на інший у sshd_config:

sudo nano /etc/ssh/sshd_config

Якщо повідомлення не зупиняється, проблема також може бути викликана цим: Freebpx викликає sshd помилки в / var / log / захищеному файлі журналу або дивіться тут дискусію "Не отримав ідентифікаційний рядок" в auth.log на форумах Ubuntu.

Якщо вам колись цікаво, хто сканує порт або намагається пройти автентифікацію на вашій машині, просто перевірте:

# whois 211.110.33.50

# KOREAN(UTF8)

조회하신 IPv4주소는 한국인터넷진흥원으로부터 아래의 관리대행자에게 할당되었으며, 할당 정보는 다음과 같습니다.

[ 네트워크 할당 정보 ]
IPv4주소           : 211.110.0.0 - 211.110.239.255 (/17+/18+/19+/20)

тощо.

Це також може бути спроба здійснити добре відомий експлуатування переповнення буфера.

Це зафіксовано у фільтрі /etc/fail2ban/filter.d/sshd-ddos.conf, який ви можете увімкнути, щоб захистити себе цими спробами злому:

Fail2Ban ssh filter for at attempted exploit
The regex here also relates to a exploit:
http://www.securityfocus.com/bid/17958/exploit
The example code here shows the pushing of the exploit straight after
reading the server version. This is where the client version string normally
pushed. As such the server will read this unparsible information as
"Did not receive identification string".

Цільовим рядком для цього подвигу є (вгадайте, що?) "Не отримав ідентифікаційний рядок від ..."

Ви можете відрізнити законні підключення, що надходять від мережі вашого постачальника з метою моніторингу, будь-якими іншими несанкціонованими джерелами, просто перевіривши мережевий діапазон віддаленої IP-адреси.

Можна доручити фільтр fail2ban (через директиву "ignoreregex"), щоб відповідно ігнорувати законну спробу.