Possível ataque ao servidor ssh

Navegue suas respostas
2

poderia ser alguém tão legal me explicar. No meu servidor linux no log auth.log, eu encontrei a próxima linha: 

Jul 27 09:16:30 aws-ftp sshd[13186]: Bad protocol version identification 'telnet mail.softlution.com 2222' from 194.120.221.212 port 63085

o google me deu este link: 

https://scottlinux.com/2012/03/07/troubleshooting-ssh-server-logs-and-error-messages/

exemplo 6, mas nesta mensagem o domínio telnet mail.softlution.com não é meu domínio e o IP 194.120.221.212 - não meu ip.

O que pode ser? Thx antecipadamente!

    
por kbu 27.07.2016 / 10:13

3 respostas

7

Esse é um endereço IP alemão. Honestamente, é muito comum ver scanners por aí na Internet procurando portas abertas e possíveis vulnerabilidades. Se estiver preocupado, você pode usar um firewall baseado em host, permitir apenas chaves SSH, usar fail2ban etc. para minimizar o risco.

Apenas um palpite sobre o que eles estão tentando fazer ...

Dado que a porta para a qual o mau ator está tentando se conectar é 2222 e isso parece convenientemente com a porta SSH (22), parece que eles estão tentando ver se podem executar um comando em sua caixa para estabelecer um conexão de volta para casa.

    
por 27.07.2016 / 10:39
0

Também não é um IP agressivo, então é mais provável que seja apenas um bot.

Você pode configurar o fail2ban no seu servidor e configurá-lo para analisar os logs do ssh. Existem ótimos exemplos diretamente no arquivo de configuração, então você só precisa alterar algumas linhas para se adequar ao seu caso.

    
por 27.07.2016 / 10:41
0

Se você deseja proteger seu servidor realmente bem, você pode configurar um Mailserver nele, o que o notifica sempre que alguém tenta fazer o login. Você também pode definir a porta SSH padrão em uma porta de alto nível com números aleatórios, Fail2Ban, 2-Factor-Authentication, SSH Key com um phasprase e talvez se você tiver um servidor VPN privado ou um IP estático como whitelist para logins. / p>

Há uma solução alternativa para receber notificações com o Comunicationtool Slack. Se você deseja obter ajuda, elas são várias Soluções alternativas aqui na Rede do StackExchange e no Google

    
por 28.07.2016 / 15:07

Tags

O que significa 'VL' em 'Windows Server 2003 Web Edition com SP1 - VL' Tamanho de instância recomendado para o controlador AD na AWS