registro sshd pieno di "Non ho ricevuto la stringa di identificazione da"

17

Mar  2 02:34:02 freetalker3 sshd[28436]: Did not receive identification string from 211.110.33.50
Mar  2 02:34:08 freetalker3 sshd[28439]: Did not receive identification string from 211.110.33.50
Mar  2 02:34:13 freetalker3 sshd[28442]: Did not receive identification string from 211.110.33.50
Mar  2 02:34:19 freetalker3 sshd[28445]: Did not receive identification string from 211.110.33.50
Mar  2 02:34:24 freetalker3 sshd[28448]: Did not receive identification string from 211.110.33.50
Mar  2 02:34:30 freetalker3 sshd[28451]: Did not receive identification string from 211.110.33.50
Mar  2 02:34:35 freetalker3 sshd[28454]: Did not receive identification string from 211.110.33.50
Mar  2 02:34:41 freetalker3 sshd[28457]: Did not receive identification string from 211.110.33.50
Mar  2 02:34:46 freetalker3 sshd[28460]: Did not receive identification string from 211.110.33.50
Mar  2 02:34:52 freetalker3 sshd[28463]: Did not receive identification string from 211.110.33.50
Mar  2 02:34:57 freetalker3 sshd[28466]: Did not receive identification string from 211.110.33.50
Mar  2 02:35:03 freetalker3 sshd[28469]: Did not receive identification string from 211.110.33.50
Mar  2 02:35:08 freetalker3 sshd[28472]: Did not receive identification string from 211.110.33.50
Mar  2 02:35:14 freetalker3 sshd[28475]: Did not receive identification string from 211.110.33.50
Mar  2 02:35:20 freetalker3 sshd[28478]: Did not receive identification string from 211.110.33.50
Mar  2 02:35:25 freetalker3 sshd[28481]: Did not receive identification string from 211.110.33.50
Mar  2 02:35:31 freetalker3 sshd[28484]: Did not receive identification string from 211.110.33.50
Mar  2 02:35:36 freetalker3 sshd[28488]: Did not receive identification string from 211.110.33.50

Il mio /var/log/auth.log è pieno di questi messaggi, inviati ogni 6 secondi. il mio server è su vps e l'ip sembra essere un ip interno. quale potrebbe essere la causa di questo problema?

ssh

— thkang
fonte

Hai cron job in esecuzione sotto root ?

— Shimon Rachlenko

4

Qualche miscredente (sorpresa!) Sta martellando ssh per cercare di trovare una combinazione nome utente / password che li porti nel sistema. Probabilmente da qualche botnet che fa lo stesso per chissà quante altre vittime ignare.

Installa qualcosa come fail2ban o DenyHosts (alcuni di essi dovrebbero essere disponibili per qualsiasi distribuzione Linux) o imposta il firewall locale per limitare i tentativi di connessione SSH. La modifica della porta SSH fa fallire la stupida forza bruta, ma fallisce anche gli usi legittimi.

— vonbrand
fonte

Non dimenticare: sshguard

— 0xC0000022L

3

Non stanno provando le password se non sono arrivati abbastanza lontano per negoziare il set di crittografia.

— Jo Rhett,

15

Questa risposta è completamente sbagliata e un po 'fuorviante. Come menzionato di seguito, se ricevi questo messaggio, la connessione non è arrivata alla fase di assegnazione di un nome utente, quindi non può tentare di indovinarne uno. Può essere a) legittimamente verificare che la tua macchina sia viva - il che va bene oppure b) cercare porte ssh che attaccherebbe. Tuttavia, nel caso b) normalmente vedresti un solo messaggio da qualsiasi altro indirizzo. Potresti finire con il riavvio del computer da parte di una persona o di un sistema che tenta di risolvere le cose se keepalive viene eseguito per il monitoraggio.

— Michael,

33

In realtà, questo è stato dal mio provider di hosting - inviano spam al mio VPS ogni 6 secondi, per mostrare lo stato del mio server sulla loro console web. Il mio server viene visualizzato come attivo se il mio SSH risponde loro.

Ho appena installato OpenVPN e ho consentito SSH solo tramite quello, quindi, secondo i miei provider, il mio server ha tempi di inattività del 100%.

— thkang
fonte

9

I correttori del battito cardiaco insensibili al protocollo sono fastidiosi.

— Falcon Momot

Sì, ad esempio, se il tuo server sshd è in esecuzione su un'istanza di AWS EC2 e lo hai configurato dietro un bilanciamento del carico elastico con un controllo dello stato sulla porta SSH, vedrai questo messaggio nei registri ogni volta che viene eseguito il controllo dello stato .

— Hugh W,

10

Questo è molto probabilmente un keepalive (verifica che il server stia rispondendo) da una comunicazione. dispositivo.

— JTrunk
fonte

Puoi spiegare quali tipi di dispositivi di comunicazione potrebbero fare questo e perché?

— Elliott B

7

Tali messaggi vengono generati da SSH quando qualcuno ha tentato di accedervi ma non ha completato i passaggi. Ad esempio, se NMS sta verificando se la porta ssh 22 è attiva o meno, tenterà semplicemente di connettersi sulla porta 22 e se la connessione ha esito positivo, si bloccherà, in questi casi SSH riporta lo stesso.

Quindi è a causa di una scansione della porta SSH.

— Suyash Jain
fonte

1

Prova a cambiare la porta ssh da 22 a un'altra in sshd_config:

sudo nano /etc/ssh/sshd_config

Se non si fermano i messaggi, il problema può essere causato anche da questo: Freebpx causa errori sshd nel file di registro / var / log / secure o vedere la discussione qui "Non ho ricevuto la stringa di identificazione" nel forum auth.log sui forum di Ubuntu.

— Meriadoc Brandybuck
fonte

1

grazie, i messaggi di spam sono spariti (almeno per ora) e non ho installato freepbx.

— Grazie

0

Se ti chiedi mai chi sta eseguendo la scansione della porta o provando ad autenticarti sul tuo computer, controlla:

# whois 211.110.33.50

# KOREAN(UTF8)

조회하신 IPv4주소는 한국인터넷진흥원으로부터 아래의 관리대행자에게 할당되었으며, 할당 정보는 다음과 같습니다.

[ 네트워크 할당 정보 ]
IPv4주소           : 211.110.0.0 - 211.110.239.255 (/17+/18+/19+/20)

eccetera.

— private_nodez
fonte

0

Potrebbe anche essere un tentativo di eseguire un noto exploit di overflow del buffer.

È documentato nel filtro /etc/fail2ban/filter.d/sshd-ddos.conf, che puoi abilitare per proteggerti da questi tentativi di hacking:

Fail2Ban ssh filter for at attempted exploit
The regex here also relates to a exploit:
http://www.securityfocus.com/bid/17958/exploit
The example code here shows the pushing of the exploit straight after
reading the server version. This is where the client version string normally
pushed. As such the server will read this unparsible information as
"Did not receive identification string".

La stringa di destinazione per questo exploit è (indovina un po '?) "Non hai ricevuto la stringa di identificazione da ..."

È possibile distinguere le connessioni legittime provenienti dalla rete del provider a scopo di monitoraggio, da qualsiasi altra fonte non autorizzata, semplicemente controllando l'intervallo di rete dell'indirizzo IP remoto.

È possibile istruire il filtro fail2ban (attraverso la direttiva "ignoreregex") per ignorare di conseguenza il tentativo legittimo.

— Demis Palma ツ
fonte