Erro intermitente OpenSSH (ssh_exchange_identification: Conexão fechada pelo host remoto) em um IP público

Navegue suas respostas
1

Eu enfrentei um problema muito estranho em um dos meus servidores SSH públicos. Estava falhando intermitentemente com o erro abaixo: 

ssh_exchange_identification: Connection closed by remote host

Todos nós sabemos que é genérico. Deixe-me mostrar os registros do lado do cliente e do servidor.

No cliente SSH - 

OpenSSH_6.6.1, OpenSSL 1.0.1f 6 Jan 2014
debug1: Reading configuration data /etc/ssh/ssh_config  
debug1: /etc/ssh/ssh_config line 19: Applying options for *  
debug2: ssh_connect: needpriv 0  
debug1: Connecting to 139.162.11.185 [139.162.11.185] port 22.  
debug1: Connection established.  
debug1: identity file /home/vivek/.ssh/id_rsa type -1  
debug1: identity file /home/vivek/.ssh/id_rsa-cert type -1  
debug1: identity file /home/vivek/.ssh/id_dsa type -1  
debug1: identity file /home/vivek/.ssh/id_dsa-cert type -1  
debug1: identity file /home/vivek/.ssh/id_ecdsa type -1  
debug1: identity file /home/vivek/.ssh/id_ecdsa-cert type -1  
debug1: identity file /home/vivek/.ssh/id_ed25519 type -1  
debug1: identity file /home/vivek/.ssh/id_ed25519-cert type -1  
debug1: Enabling compatibility mode for protocol 2.0  
debug1: Local version string SSH-2.0-OpenSSH_6.6.1p1 Ubuntu-2ubuntu2.4  
ssh_exchange_identification: Connection closed by remote host

No servidor SSH 

Feb  6 14:49:10 linsing2 sshd[19916]: Connection closed by 124.40.245.75  
Feb  6 14:49:16 linsing2 sshd[19935]: Connection closed by 124.40.245.75  
Feb  6 14:49:20 linsing2 sshd[19937]: Connection closed by 124.40.245.75

A questão toda é intermitente.

  • Isso se deve a algum ataque DDOS no servidor SSH que já fez tantas conexões?
  • Ou isso é devido ao limite Max_Connection no servidor SSH? (Mas o Max_Connects funciona por rede, tentamos de 3 redes diferentes e obtivemos o mesmo erro)
  • Ou há uma possibilidade possível de número de arquivos atualmente abertos ou conexões no servidor SSH? (Nota - Nós não temos muitos usuários fazendo sftp ou ssh)

Por favor, compartilhe seus pensamentos, seria útil!

    
por vivekyad4v 06.02.2016 / 10:49

2 respostas

3
  

Isso se deve a algum ataque DDOS no servidor SSH que já fez tantas conexões?

Pode ser. Você encontraria executando ps aux | grep sshd para descobrir quantas conexões estão pendentes. Isso é afetado pela opção MaxStartups

  

Ou isso é devido ao limite Max_Connection no servidor SSH? (Mas Max_Connects funciona por rede, tentamos de 3 redes diferentes e obtivemos o mesmo erro)

Não há limite "Max_Connection" no servidor ssh. Existe a opção MaxSessions , mas se aplica apenas à quantidade de sessões por conexão, ou seja. Multiplexação.

Os logs parecem que a conexão foi quebrada em algum lugar no meio. Firewalls, outros IDS?

    
por Jakuje 06.02.2016 / 12:58
4

Na verdade, foi um ataque do DOS e foi resolvido após a alteração da porta e & ssh do ssh Variável MaxStartups em / etc / ssh / sshd_config para,

port 2244 MaxStartups 100

Reinicie o serviço, 

service sshd restart
    
por vivekyad4v 08.02.2016 / 06:17
Qual é o atalho para renomear um arquivo no Thunar? Como posso ver quais atualizações foram instaladas durante o tempo de atualização no Ubuntu Software no Ubuntu 16.04LTS