Mar 2 02:34:02 freetalker3 sshd[28436]: Did not receive identification string from 211.110.33.50
Mar 2 02:34:08 freetalker3 sshd[28439]: Did not receive identification string from 211.110.33.50
Mar 2 02:34:13 freetalker3 sshd[28442]: Did not receive identification string from 211.110.33.50
Mar 2 02:34:19 freetalker3 sshd[28445]: Did not receive identification string from 211.110.33.50
Mar 2 02:34:24 freetalker3 sshd[28448]: Did not receive identification string from 211.110.33.50
Mar 2 02:34:30 freetalker3 sshd[28451]: Did not receive identification string from 211.110.33.50
Mar 2 02:34:35 freetalker3 sshd[28454]: Did not receive identification string from 211.110.33.50
Mar 2 02:34:41 freetalker3 sshd[28457]: Did not receive identification string from 211.110.33.50
Mar 2 02:34:46 freetalker3 sshd[28460]: Did not receive identification string from 211.110.33.50
Mar 2 02:34:52 freetalker3 sshd[28463]: Did not receive identification string from 211.110.33.50
Mar 2 02:34:57 freetalker3 sshd[28466]: Did not receive identification string from 211.110.33.50
Mar 2 02:35:03 freetalker3 sshd[28469]: Did not receive identification string from 211.110.33.50
Mar 2 02:35:08 freetalker3 sshd[28472]: Did not receive identification string from 211.110.33.50
Mar 2 02:35:14 freetalker3 sshd[28475]: Did not receive identification string from 211.110.33.50
Mar 2 02:35:20 freetalker3 sshd[28478]: Did not receive identification string from 211.110.33.50
Mar 2 02:35:25 freetalker3 sshd[28481]: Did not receive identification string from 211.110.33.50
Mar 2 02:35:31 freetalker3 sshd[28484]: Did not receive identification string from 211.110.33.50
Mar 2 02:35:36 freetalker3 sshd[28488]: Did not receive identification string from 211.110.33.50
Mój /var/log/auth.log jest pełen tych wiadomości, spamowanych co 6 sekund. mój serwer jest na vps i ip wygląda na to, że jest to wewnętrzny ip. co może być przyczyną tego problemu?
Odpowiedzi:
Jakiś złośliwy (niespodzianka!) Walczy w ssh, aby spróbować znaleźć kombinację nazwy użytkownika i hasła, która dostarczy ich do systemu. Prawdopodobnie z jakiegoś botnetu robiącego to samo, kto wie, ile innych niczego nie podejrzewających ofiar.
Zainstalować coś podobnego fail2ban lub DenyHosts (niektóre obie powinny być dostępne dla każdej dystrybucji Linuksa), lub skonfigurować lokalną zaporę, aby ograniczyć SSH prób połączenia. Zmiana portu SSH powoduje, że głupia brutalna próba kończy się niepowodzeniem, ale także powoduje, że legalne zastosowania zawodzą.
źródło
W rzeczywistości pochodziło to od mojego dostawcy hostingu - spamują mój VPS co 6 sekund, aby pokazać status mojego serwera na swojej konsoli internetowej. Mój serwer jest wyświetlany jako aktywny, jeśli mój sshd na nie odpowie.
Właśnie zainstalowałem OpenVPN i zezwalam na SSH tylko przez to - więc według moich dostawców mój serwer ma 100% przestojów.
źródło
Najprawdopodobniej jest to podtrzymanie połączenia (sprawdzenie, czy serwer odpowiada) z komunikatora. urządzenie.
źródło
Takie wiadomości są generowane przez SSH, gdy ktoś próbował uzyskać do niego dostęp, ale nie ukończył kroków. Na przykład, jeśli NMS sprawdza, czy port ssh 22 jest włączony, po prostu spróbuje połączyć się z portem 22, a jeśli połączenie się powiedzie, zawiesi się, w takich przypadkach SSH zgłasza to samo.
Jest tak z powodu skanowania portu SSH.
źródło
Spróbuj zmienić port ssh z 22 na inny w
sshd_config
:Jeśli nie zatrzymuje wiadomości, problem może być również spowodowany przez: Freebpx powoduje błędy sshd w pliku / var / log / secure log lub zobacz dyskusję tutaj „Nie otrzymano ciągu identyfikacyjnego” w auth.log na forach Ubuntu.
źródło
Jeśli zastanawiasz się, kto skanuje port lub próbuje uwierzytelnić się na twoim komputerze, po prostu sprawdź:
itp.
źródło
Może to być także próba przeprowadzenia dobrze znanego exploita przepełnienia bufora.
Jest to udokumentowane w filtrze
/etc/fail2ban/filter.d/sshd-ddos.conf
, który możesz włączyć, aby chronić się przez te próby włamania:Ciąg docelowy dla tego exploita to (zgadnij co?) „Nie otrzymałem ciągu identyfikacyjnego od ...”
Możesz rozróżnić legalne połączenia przychodzące z sieci dostawcy w celu monitorowania przez dowolne inne nieautoryzowane źródła, po prostu sprawdzając zasięg sieci zdalnego adresu IP.
Można poinstruować filtr fail2ban (poprzez dyrektywę „ignoreregex”), aby odpowiednio zignorować uzasadnioną próbę.
źródło