sshd log full of „Nie otrzymałem ciągu identyfikacyjnego od”

17
Mar  2 02:34:02 freetalker3 sshd[28436]: Did not receive identification string from 211.110.33.50
Mar  2 02:34:08 freetalker3 sshd[28439]: Did not receive identification string from 211.110.33.50
Mar  2 02:34:13 freetalker3 sshd[28442]: Did not receive identification string from 211.110.33.50
Mar  2 02:34:19 freetalker3 sshd[28445]: Did not receive identification string from 211.110.33.50
Mar  2 02:34:24 freetalker3 sshd[28448]: Did not receive identification string from 211.110.33.50
Mar  2 02:34:30 freetalker3 sshd[28451]: Did not receive identification string from 211.110.33.50
Mar  2 02:34:35 freetalker3 sshd[28454]: Did not receive identification string from 211.110.33.50
Mar  2 02:34:41 freetalker3 sshd[28457]: Did not receive identification string from 211.110.33.50
Mar  2 02:34:46 freetalker3 sshd[28460]: Did not receive identification string from 211.110.33.50
Mar  2 02:34:52 freetalker3 sshd[28463]: Did not receive identification string from 211.110.33.50
Mar  2 02:34:57 freetalker3 sshd[28466]: Did not receive identification string from 211.110.33.50
Mar  2 02:35:03 freetalker3 sshd[28469]: Did not receive identification string from 211.110.33.50
Mar  2 02:35:08 freetalker3 sshd[28472]: Did not receive identification string from 211.110.33.50
Mar  2 02:35:14 freetalker3 sshd[28475]: Did not receive identification string from 211.110.33.50
Mar  2 02:35:20 freetalker3 sshd[28478]: Did not receive identification string from 211.110.33.50
Mar  2 02:35:25 freetalker3 sshd[28481]: Did not receive identification string from 211.110.33.50
Mar  2 02:35:31 freetalker3 sshd[28484]: Did not receive identification string from 211.110.33.50
Mar  2 02:35:36 freetalker3 sshd[28488]: Did not receive identification string from 211.110.33.50

Mój /var/log/auth.log jest pełen tych wiadomości, spamowanych co 6 sekund. mój serwer jest na vps i ip wygląda na to, że jest to wewnętrzny ip. co może być przyczyną tego problemu?

thkang
źródło
Czy masz zadania crona działające pod rootem ?
Shimon Rachlenko

Odpowiedzi:

4

Jakiś złośliwy (niespodzianka!) Walczy w ssh, aby spróbować znaleźć kombinację nazwy użytkownika i hasła, która dostarczy ich do systemu. Prawdopodobnie z jakiegoś botnetu robiącego to samo, kto wie, ile innych niczego nie podejrzewających ofiar.

Zainstalować coś podobnego fail2ban lub DenyHosts (niektóre obie powinny być dostępne dla każdej dystrybucji Linuksa), lub skonfigurować lokalną zaporę, aby ograniczyć SSH prób połączenia. Zmiana portu SSH powoduje, że głupia brutalna próba kończy się niepowodzeniem, ale także powoduje, że legalne zastosowania zawodzą.

vonbrand
źródło
Nie zapomnij: sshguard
0xC0000022L
3
Nie próbują haseł, jeśli nie dostali się wystarczająco daleko, aby wynegocjować zestaw kryptograficzny.
Jo Rhett,
15
Ta odpowiedź jest całkowicie błędna i nieco myląca. Jak wspomniano poniżej, jeśli pojawi się ten komunikat, połączenie nie przeszło do etapu nadania nazwy użytkownika, więc nie można jej zgadnąć. Może to być a) legalne sprawdzenie, czy komputer działa - co jest w porządku lub b) skanowanie w poszukiwaniu portów ssh, które mógłby zaatakować. Jednak w przypadku b) zwykle widzisz tylko jedną wiadomość z dowolnego innego adresu. Możesz skończyć z ponownym uruchomieniem komputera przez jakąś osobę lub system próbujący naprawić problemy, jeśli monitorowanie jest wykonywane.
Michael
34

W rzeczywistości pochodziło to od mojego dostawcy hostingu - spamują mój VPS co 6 sekund, aby pokazać status mojego serwera na swojej konsoli internetowej. Mój serwer jest wyświetlany jako aktywny, jeśli mój sshd na nie odpowie.

Właśnie zainstalowałem OpenVPN i zezwalam na SSH tylko przez to - więc według moich dostawców mój serwer ma 100% przestojów.

thkang
źródło
9
Sprawdzające bicie serca niewrażliwe na protokół są denerwujące.
Falcon Momot,
Tak - na przykład, jeśli serwer sshd działa na instancji AWS EC2 i skonfigurowałeś go za elastycznym modułem równoważenia obciążenia z kontrolą stanu na porcie SSH, ten komunikat pojawi się w dziennikach przy każdym uruchomieniu sprawdzania kondycji .
Hugh W
10

Najprawdopodobniej jest to podtrzymanie połączenia (sprawdzenie, czy serwer odpowiada) z komunikatora. urządzenie.

JTrunk
źródło
Czy możesz wyjaśnić, jakie typy urządzeń komunikacyjnych mogą to zrobić i dlaczego?
Elliott B
7

Takie wiadomości są generowane przez SSH, gdy ktoś próbował uzyskać do niego dostęp, ale nie ukończył kroków. Na przykład, jeśli NMS sprawdza, czy port ssh 22 jest włączony, po prostu spróbuje połączyć się z portem 22, a jeśli połączenie się powiedzie, zawiesi się, w takich przypadkach SSH zgłasza to samo.

Jest tak z powodu skanowania portu SSH.

Suyash Jain
źródło
0

Jeśli zastanawiasz się, kto skanuje port lub próbuje uwierzytelnić się na twoim komputerze, po prostu sprawdź:

# whois 211.110.33.50

# KOREAN(UTF8)

조회하신 IPv4주소는 한국인터넷진흥원으로부터 아래의 관리대행자에게 할당되었으며, 할당 정보는 다음과 같습니다.

[ 네트워크 할당 정보 ]
IPv4주소           : 211.110.0.0 - 211.110.239.255 (/17+/18+/19+/20)

itp.

private_nodez
źródło
0

Może to być także próba przeprowadzenia dobrze znanego exploita przepełnienia bufora.

Jest to udokumentowane w filtrze /etc/fail2ban/filter.d/sshd-ddos.conf, który możesz włączyć, aby chronić się przez te próby włamania:

Fail2Ban ssh filter for at attempted exploit
The regex here also relates to a exploit:
http://www.securityfocus.com/bid/17958/exploit
The example code here shows the pushing of the exploit straight after
reading the server version. This is where the client version string normally
pushed. As such the server will read this unparsible information as
"Did not receive identification string".

Ciąg docelowy dla tego exploita to (zgadnij co?) „Nie otrzymałem ciągu identyfikacyjnego od ...”

Możesz rozróżnić legalne połączenia przychodzące z sieci dostawcy w celu monitorowania przez dowolne inne nieautoryzowane źródła, po prostu sprawdzając zasięg sieci zdalnego adresu IP.

Można poinstruować filtr fail2ban (poprzez dyrektywę „ignoreregex”), aby odpowiednio zignorować uzasadnioną próbę.

Demis Palma ツ
źródło