Nhật ký sshd đầy đủ của Vik Không nhận được chuỗi nhận dạng từ tổ chức

Mar  2 02:34:02 freetalker3 sshd[28436]: Did not receive identification string from 211.110.33.50
Mar  2 02:34:08 freetalker3 sshd[28439]: Did not receive identification string from 211.110.33.50
Mar  2 02:34:13 freetalker3 sshd[28442]: Did not receive identification string from 211.110.33.50
Mar  2 02:34:19 freetalker3 sshd[28445]: Did not receive identification string from 211.110.33.50
Mar  2 02:34:24 freetalker3 sshd[28448]: Did not receive identification string from 211.110.33.50
Mar  2 02:34:30 freetalker3 sshd[28451]: Did not receive identification string from 211.110.33.50
Mar  2 02:34:35 freetalker3 sshd[28454]: Did not receive identification string from 211.110.33.50
Mar  2 02:34:41 freetalker3 sshd[28457]: Did not receive identification string from 211.110.33.50
Mar  2 02:34:46 freetalker3 sshd[28460]: Did not receive identification string from 211.110.33.50
Mar  2 02:34:52 freetalker3 sshd[28463]: Did not receive identification string from 211.110.33.50
Mar  2 02:34:57 freetalker3 sshd[28466]: Did not receive identification string from 211.110.33.50
Mar  2 02:35:03 freetalker3 sshd[28469]: Did not receive identification string from 211.110.33.50
Mar  2 02:35:08 freetalker3 sshd[28472]: Did not receive identification string from 211.110.33.50
Mar  2 02:35:14 freetalker3 sshd[28475]: Did not receive identification string from 211.110.33.50
Mar  2 02:35:20 freetalker3 sshd[28478]: Did not receive identification string from 211.110.33.50
Mar  2 02:35:25 freetalker3 sshd[28481]: Did not receive identification string from 211.110.33.50
Mar  2 02:35:31 freetalker3 sshd[28484]: Did not receive identification string from 211.110.33.50
Mar  2 02:35:36 freetalker3 sshd[28488]: Did not receive identification string from 211.110.33.50

/Var/log/auth.log của tôi chứa đầy những tin nhắn này, bị spam mỗi 6 giây. máy chủ của tôi là trên vps và ip có vẻ như là một ip nội bộ. Điều gì có thể là nguyên nhân của vấn đề này?

Một số người không phù hợp (ngạc nhiên!) Đang cố gắng tìm kiếm sự kết hợp tên người dùng / mật khẩu để đưa họ vào hệ thống. Có lẽ từ một số botnet làm điều tương tự cho những người biết có bao nhiêu nạn nhân không ngờ tới khác.

Cài đặt một cái gì đó như fail2ban hoặc Denyhosts (một số cả hai sẽ có sẵn cho bất kỳ bản phân phối Linux nào) hoặc thiết lập tường lửa cục bộ của bạn để hạn chế các nỗ lực kết nối SSH. Thay đổi cổng SSH làm cho lực lượng vũ phu ngu ngốc cố gắng thất bại, nhưng nó cũng làm cho việc sử dụng hợp pháp thất bại.

Trên thực tế, đây là từ nhà cung cấp dịch vụ lưu trữ của tôi - họ spam VPS của tôi cứ sau 6 giây, để hiển thị trạng thái máy chủ của tôi trên bảng điều khiển web của họ. Máy chủ của tôi được hiển thị là hoạt động nếu sshd của tôi trả lời chúng.

Tôi vừa cài đặt OpenVPN và chỉ cho phép SSH thông qua đó - vì vậy, theo các nhà cung cấp, máy chủ của tôi tự hào 100% thời gian chết.

Điều này rất có thể là một thủ tục (xác minh máy chủ đang phản hồi) từ một comm. thiết bị.

Những tin nhắn như vậy bị SSH ném khi ai đó cố gắng truy cập nhưng không hoàn thành các bước. Ví dụ: nếu NMS đang kiểm tra xem cổng ssh 22 có hoạt động hay không, đơn giản là nó sẽ cố gắng kết nối trên cổng 22 và nếu kết nối thành công, nó sẽ bị treo, trong trường hợp như vậy, SSH cũng báo cáo như vậy.

Vì vậy, đó là do quét cổng SSH.

Hãy thử thay đổi cổng ssh từ 22 sang một cổng khác trong sshd_config:

sudo nano /etc/ssh/sshd_config

Nếu nó không dừng tin nhắn, vấn đề cũng có thể do nguyên nhân này: Freebpx gây ra lỗi sshd trong tệp nhật ký / var / log / safe hoặc xem thảo luận tại đây "Không nhận được chuỗi nhận dạng" trong auth.log trên diễn đàn Ubuntu.

Nếu bạn tự hỏi ai đang quét cổng hoặc cố gắng xác thực trên máy của bạn, chỉ cần kiểm tra:

# whois 211.110.33.50

# KOREAN(UTF8)

조회하신 IPv4주소는 한국인터넷진흥원으로부터 아래의 관리대행자에게 할당되었으며, 할당 정보는 다음과 같습니다.

[ 네트워크 할당 정보 ]
IPv4주소           : 211.110.0.0 - 211.110.239.255 (/17+/18+/19+/20)

Vân vân.

Nó cũng có thể là một nỗ lực để thực hiện khai thác tràn bộ đệm nổi tiếng.

Nó được ghi lại trong bộ lọc /etc/fail2ban/filter.d/sshd-ddos.confmà bạn có thể kích hoạt để tự bảo vệ mình bằng các nỗ lực hack này:

Fail2Ban ssh filter for at attempted exploit
The regex here also relates to a exploit:
http://www.securityfocus.com/bid/17958/exploit
The example code here shows the pushing of the exploit straight after
reading the server version. This is where the client version string normally
pushed. As such the server will read this unparsible information as
"Did not receive identification string".

Chuỗi mục tiêu cho khai thác này là (đoán xem?) "Không nhận được chuỗi nhận dạng từ ..."

Bạn có thể phân biệt các kết nối hợp pháp đến từ mạng nhà cung cấp của mình cho mục đích giám sát, bởi bất kỳ nguồn trái phép nào khác, chỉ bằng cách kiểm tra phạm vi mạng của địa chỉ IP từ xa.

Có thể hướng dẫn bộ lọc fail2ban (thông qua chỉ thị 'ignoreregex') để bỏ qua nỗ lực hợp pháp tương ứng.