sshd log cheio de “Não recebeu string de identificação de”

13
Mar  2 02:34:02 freetalker3 sshd[28436]: Did not receive identification string from 211.110.33.50
Mar  2 02:34:08 freetalker3 sshd[28439]: Did not receive identification string from 211.110.33.50
Mar  2 02:34:13 freetalker3 sshd[28442]: Did not receive identification string from 211.110.33.50
Mar  2 02:34:19 freetalker3 sshd[28445]: Did not receive identification string from 211.110.33.50
Mar  2 02:34:24 freetalker3 sshd[28448]: Did not receive identification string from 211.110.33.50
Mar  2 02:34:30 freetalker3 sshd[28451]: Did not receive identification string from 211.110.33.50
Mar  2 02:34:35 freetalker3 sshd[28454]: Did not receive identification string from 211.110.33.50
Mar  2 02:34:41 freetalker3 sshd[28457]: Did not receive identification string from 211.110.33.50
Mar  2 02:34:46 freetalker3 sshd[28460]: Did not receive identification string from 211.110.33.50
Mar  2 02:34:52 freetalker3 sshd[28463]: Did not receive identification string from 211.110.33.50
Mar  2 02:34:57 freetalker3 sshd[28466]: Did not receive identification string from 211.110.33.50
Mar  2 02:35:03 freetalker3 sshd[28469]: Did not receive identification string from 211.110.33.50
Mar  2 02:35:08 freetalker3 sshd[28472]: Did not receive identification string from 211.110.33.50
Mar  2 02:35:14 freetalker3 sshd[28475]: Did not receive identification string from 211.110.33.50
Mar  2 02:35:20 freetalker3 sshd[28478]: Did not receive identification string from 211.110.33.50
Mar  2 02:35:25 freetalker3 sshd[28481]: Did not receive identification string from 211.110.33.50
Mar  2 02:35:31 freetalker3 sshd[28484]: Did not receive identification string from 211.110.33.50
Mar  2 02:35:36 freetalker3 sshd[28488]: Did not receive identification string from 211.110.33.50

Meu /var/log/auth.log está cheio dessas mensagens, spam a cada 6 segundos. meu servidor está em vps e o ip parece que é um ip interno. qual poderia ser a causa deste problema?

    
por thkang 01.03.2013 / 18:41

6 respostas

5

Alguns miscreant (surpresa!) estão martelando no ssh para tentar encontrar uma combinação de nome de usuário / senha que os coloque no sistema. Provavelmente de algum botnet fazendo o mesmo com quem sabe quantas outras vítimas inocentes.

Instale algo como fail2ban ou DenyHosts ( alguns dos dois devem estar disponíveis para qualquer distribuição Linux) ou configurar o firewall local para limitar as tentativas de conexão SSH. A alteração da porta SSH faz com que a força bruta estúpida tente falhar, mas também faz com que os usos legítimos falhem.

    
por 02.03.2013 / 03:35
26

Na verdade, isso era do meu provedor de hospedagem - eles enviam spam a meu VPS a cada 6 segundos para mostrar o status do servidor no console da web. Meu servidor é exibido como ativo se meu sshd responder a eles.

Eu acabei de instalar o OpenVPN e permiti o SSH apenas por meio disso - então, de acordo com meus provedores, meu servidor possui 100% de tempo de inatividade.

    
por 07.05.2013 / 23:18
8

Este é provavelmente um keepalive (verificando se o servidor está respondendo) de um comunicador. dispositivo.

    
por 15.11.2013 / 12:46
5

Tais mensagens são lançadas pelo SSH quando alguém tentou acessá-lo, mas não concluiu as etapas. Por exemplo, se o NMS estiver verificando se a porta ssh 22 está ativada ou não, ela simplesmente tentará se conectar na porta 22 e, se a conexão for bem-sucedida, ela será interrompida e, nesses casos, o SSH relatará o mesmo.

Portanto, é por causa de uma varredura de porta SSH.

    
por 21.08.2014 / 16:57
2

Tente alterar a porta ssh de 22 para outra em sshd_config :

sudo nano /etc/ssh/sshd_config

Se não parar as mensagens, o problema também pode ser causado por isso: Freebpx causa erros de sshd em / var / log / secure log file ou veja a discussão aqui "Não recebeu a string de identificação" em auth.log nos fóruns do Ubuntu.

    
por 01.03.2013 / 20:16
1

Se você já se perguntou quem está digitalizando ou tentando autenticar em sua máquina, verifique:

# whois 211.110.33.50

# KOREAN(UTF8)

조회하신 IPv4주소는 한국인터넷진흥원으로부터 아래의 관리대행자에게 할당되었으며, 할당 정보는 다음과 같습니다.

[ 네트워크 할당 정보 ]
IPv4주소           : 211.110.0.0 - 211.110.239.255 (/17+/18+/19+/20)

etc.

    
por 01.11.2014 / 23:54

Tags