sshd günlüğü "Kimlik dizesi alınmadı" ile dolu

17 
Mar  2 02:34:02 freetalker3 sshd[28436]: Did not receive identification string from 211.110.33.50
Mar  2 02:34:08 freetalker3 sshd[28439]: Did not receive identification string from 211.110.33.50
Mar  2 02:34:13 freetalker3 sshd[28442]: Did not receive identification string from 211.110.33.50
Mar  2 02:34:19 freetalker3 sshd[28445]: Did not receive identification string from 211.110.33.50
Mar  2 02:34:24 freetalker3 sshd[28448]: Did not receive identification string from 211.110.33.50
Mar  2 02:34:30 freetalker3 sshd[28451]: Did not receive identification string from 211.110.33.50
Mar  2 02:34:35 freetalker3 sshd[28454]: Did not receive identification string from 211.110.33.50
Mar  2 02:34:41 freetalker3 sshd[28457]: Did not receive identification string from 211.110.33.50
Mar  2 02:34:46 freetalker3 sshd[28460]: Did not receive identification string from 211.110.33.50
Mar  2 02:34:52 freetalker3 sshd[28463]: Did not receive identification string from 211.110.33.50
Mar  2 02:34:57 freetalker3 sshd[28466]: Did not receive identification string from 211.110.33.50
Mar  2 02:35:03 freetalker3 sshd[28469]: Did not receive identification string from 211.110.33.50
Mar  2 02:35:08 freetalker3 sshd[28472]: Did not receive identification string from 211.110.33.50
Mar  2 02:35:14 freetalker3 sshd[28475]: Did not receive identification string from 211.110.33.50
Mar  2 02:35:20 freetalker3 sshd[28478]: Did not receive identification string from 211.110.33.50
Mar  2 02:35:25 freetalker3 sshd[28481]: Did not receive identification string from 211.110.33.50
Mar  2 02:35:31 freetalker3 sshd[28484]: Did not receive identification string from 211.110.33.50
Mar  2 02:35:36 freetalker3 sshd[28488]: Did not receive identification string from 211.110.33.50

/Var/log/auth.log dosyam bu iletilerle dolu, her 6 saniyede bir spam. sunucum vps ve ip dahili bir ip gibi görünüyor. bu sorunun nedeni ne olabilir?

ssh 
thkang
kaynak
Kök altında çalışan cron işleriniz var mı?
Shimon Rachlenko

Yanıtlar:

4

Bazı miscreant (sürpriz!) Onları sisteme götüren bir kullanıcı adı / şifre kombinasyonu bulmak için ssh çekiç. Muhtemelen bazı botnetlerden, diğer şüpheli olmayan kurbanların kim olduğunu bilenlere yapıyor.

Gibi bir şey yükleyin fail2ban veya DenyHosts (hem bazı tüm Linux dağıtımları için kullanılabilir olmalıdır) veya sınır SSH bağlantısı girişimleri için yerel güvenlik duvarı kurdu. SSH bağlantı noktasının değiştirilmesi, aptal kaba kuvvet denemelerinin başarısız olmasına neden olur, ancak meşru kullanımların başarısız olmasına da neden olur.

vonbrand
kaynak
Unutmayın: sshguard
0xC0000022L
3
Kripto kümesini müzakere edecek kadar çok şey alamazlarsa şifreleri denemiyorlar.
Jo Rhett
15
Bu cevap tamamen yanlış ve biraz yanıltıcı. Aşağıda belirtildiği gibi, bu mesajı alırsanız, bağlantı bir kullanıcı adı verme aşamasına gelmedi, bu yüzden bir tane tahmin etmeye çalışamaz. Bu, a) makinenizi meşru bir şekilde kontrol ediyor - ki bu iyidir veya b) saldırdığı ssh portlarını taramak olabilir. Ancak b) olması halinde, normalde herhangi bir diğer adresten yalnızca bir mesaj görürsünüz. Kalıcı izleme için yapıldıysa, bir şey veya sistem tarafından makinenizin yeniden başlatılmasıyla sonuçlanabilir.
Michael
34

Aslında, bu benim barındırma sağlayıcımdan oldu - sunucu konsolumu web konsollarında göstermek için her 6 saniyede bir VPS'mi spam yapıyorlar. Sshd'm cevap verirse sunucum aktif olarak görüntülenir.

OpenVPN'i yeni kurdum ve SSH'ye sadece bu yolla izin verdim - bu yüzden sağlayıcılarıma göre sunucum% 100 kesinti süresine sahip.

thkang
kaynak
9
Protokole duyarsız kalp atışı denetleyicileri can sıkıcıdır.
Falcon Momot
Evet - örneğin, sshd sunucunuz bir AWS EC2 örneğinde çalışıyorsa ve SSH bağlantı noktasında bir sağlık kontrolü ile bir Elastik Yük Dengeleyici'nin arkasında yapılandırdıysanız, sağlık kontrolü her çalıştığında günlüklerde bu iletiyi göreceksiniz .
Hugh W
10

Bu büyük olasılıkla bir iletişim kutusundan bir kalıcı (sunucunun yanıt verdiğini doğrulama). cihaz.

JTrunk
kaynak
Ne tür iletişim cihazlarının bunu yapabileceğini ve nedenini açıklayabilir misiniz?
Elliott B
7

Bu iletiler, birisi erişmeye çalıştığında ancak adımları tamamlamadığında SSH tarafından atılır. Örneğin, NMS port ssh 22'nin açık olup olmadığını kontrol ederse, sadece port 22'ye bağlanmaya çalışır ve bağlantı başarılı olursa telefonu kapatır, bu gibi durumlarda SSH aynı şeyi bildirir.

Bu bir SSH port taramasından kaynaklanıyor.

Suyash Jain
kaynak
0

Kimin bağlantı noktası taradığını veya makinenizde kimlik doğrulaması yapmaya çalıştığını merak ediyorsanız, şunları kontrol edin:

# whois 211.110.33.50

# KOREAN(UTF8)

조회하신 IPv4주소는 한국인터넷진흥원으로부터 아래의 관리대행자에게 할당되었으며, 할당 정보는 다음과 같습니다.

[ 네트워크 할당 정보 ]
IPv4주소           : 211.110.0.0 - 211.110.239.255 (/17+/18+/19+/20)

vb.

private_nodez
kaynak
0

Ayrıca, iyi bilinen bir arabellek taşması istismarının gerçekleştirilmesi girişimi de olabilir.

Filtrede belgelenmiştir /etc/fail2ban/filter.d/sshd-ddos.conf saldırı girişimleriyle kendinizi korumanızı sağlayabileceğiniz :

Fail2Ban ssh filter for at attempted exploit
The regex here also relates to a exploit:
http://www.securityfocus.com/bid/17958/exploit
The example code here shows the pushing of the exploit straight after
reading the server version. This is where the client version string normally
pushed. As such the server will read this unparsible information as
"Did not receive identification string".

Bu istismarın hedef dizesi (tahmin edin ne oldu?) "Kimlik dizesini almayan ..."

İzleme amacıyla sağlayıcı ağınızdan gelen meşru bağlantıları, yalnızca uzak IP adresinin ağ aralığını kontrol ederek, diğer yetkisiz kaynaklarla ayırt edebilirsiniz.

Buna göre meşru girişimi göz ardı etmek için fail2ban filtresine ('ignoreregex' yönergesi ile) talimat vermek mümkündür.

Demis Palma ツ
kaynak
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.