sshd log เต็มของ“ ไม่ได้รับสายระบุจาก”

17

Mar  2 02:34:02 freetalker3 sshd[28436]: Did not receive identification string from 211.110.33.50
Mar  2 02:34:08 freetalker3 sshd[28439]: Did not receive identification string from 211.110.33.50
Mar  2 02:34:13 freetalker3 sshd[28442]: Did not receive identification string from 211.110.33.50
Mar  2 02:34:19 freetalker3 sshd[28445]: Did not receive identification string from 211.110.33.50
Mar  2 02:34:24 freetalker3 sshd[28448]: Did not receive identification string from 211.110.33.50
Mar  2 02:34:30 freetalker3 sshd[28451]: Did not receive identification string from 211.110.33.50
Mar  2 02:34:35 freetalker3 sshd[28454]: Did not receive identification string from 211.110.33.50
Mar  2 02:34:41 freetalker3 sshd[28457]: Did not receive identification string from 211.110.33.50
Mar  2 02:34:46 freetalker3 sshd[28460]: Did not receive identification string from 211.110.33.50
Mar  2 02:34:52 freetalker3 sshd[28463]: Did not receive identification string from 211.110.33.50
Mar  2 02:34:57 freetalker3 sshd[28466]: Did not receive identification string from 211.110.33.50
Mar  2 02:35:03 freetalker3 sshd[28469]: Did not receive identification string from 211.110.33.50
Mar  2 02:35:08 freetalker3 sshd[28472]: Did not receive identification string from 211.110.33.50
Mar  2 02:35:14 freetalker3 sshd[28475]: Did not receive identification string from 211.110.33.50
Mar  2 02:35:20 freetalker3 sshd[28478]: Did not receive identification string from 211.110.33.50
Mar  2 02:35:25 freetalker3 sshd[28481]: Did not receive identification string from 211.110.33.50
Mar  2 02:35:31 freetalker3 sshd[28484]: Did not receive identification string from 211.110.33.50
Mar  2 02:35:36 freetalker3 sshd[28488]: Did not receive identification string from 211.110.33.50

/var/log/auth.log ของฉันเต็มไปด้วยข้อความเหล่านี้สแปมทุก 6 วินาที เซิร์ฟเวอร์ของฉันอยู่บน vps และ ip ดูเหมือนว่าจะเป็น ip ภายใน สาเหตุของปัญหานี้คืออะไร

ssh

— thkang
แหล่งที่มา

คุณมีงาน cron ทำงานภายใต้รูทหรือไม่?

— Shimon Rachlenko

4

ความผิดพลาดบางอย่าง (ประหลาดใจ!) กำลังตอกย้ำที่ ssh เพื่อพยายามหาชื่อผู้ใช้ / รหัสผ่านที่รวมพวกเขาเข้าสู่ระบบ อาจมาจากบ็อตเน็ตบางคนทำเช่นเดียวกันกับผู้ที่รู้จำนวนเหยื่อที่ไม่ไว้วางใจอื่น ๆ

ติดตั้งบางอย่างเช่นfail2banหรือDenyHosts (ทั้งสองอย่างควรมีให้สำหรับการแจกจ่าย Linux) หรือตั้งค่าไฟร์วอลล์ในเครื่องของคุณเพื่อ จำกัด การพยายามเชื่อมต่อ SSH การเปลี่ยนพอร์ต SSH ทำให้แรงเดรัจฉานโง่พยายามล้มเหลว แต่มันยังทำให้การใช้งานถูกต้องตามกฎหมายล้มเหลว

— vonbrand
แหล่งที่มา

อย่าลืม: sshguard

— 0xC0000022L

3

พวกเขาไม่ได้พยายามรหัสผ่านหากพวกเขาไม่ได้ไกลพอที่จะเจรจาชุดเข้ารหัส

— Jo Rhett

15

คำตอบนี้ผิดอย่างสมบูรณ์และทำให้เข้าใจผิดเล็กน้อย ตามที่ระบุไว้ด้านล่างหากคุณได้รับข้อความนี้การเชื่อมต่อไม่ได้อยู่ในขั้นตอนของการให้ชื่อผู้ใช้ดังนั้นจึงไม่สามารถคาดเดาได้ อาจเป็น) การตรวจสอบเครื่องของคุณอย่างถูกต้องตามกฎหมาย - ดีหรือข) การสแกนหาพอร์ต ssh ที่จะโจมตี อย่างไรก็ตามในกรณี b) โดยปกติคุณจะเห็นเพียงข้อความเดียวเท่านั้นจากที่อยู่อื่น ๆ คุณอาจลงเอยด้วยการรีบูตเครื่องโดยบุคคลหรือระบบที่พยายามแก้ไขสิ่งต่าง ๆ หากมีการติดตามเพื่อทำการติดตาม

— Michael

33

อันที่จริงนี่คือจากผู้ให้บริการโฮสต์ของฉัน - พวกเขา VPS ของฉันสแปมทุก 6 วินาทีเพื่อแสดงสถานะเซิร์ฟเวอร์ของฉันบนเว็บคอนโซลของพวกเขา เซิร์ฟเวอร์ของฉันแสดงว่าแอ็คทีฟหาก sshd ของฉันตอบคำถามพวกเขา

ฉันเพิ่งติดตั้ง OpenVPN และอนุญาตให้ SSH ผ่านเท่านั้น - ดังนั้นตามผู้ให้บริการของฉันเซิร์ฟเวอร์ของฉันมีการหยุดทำงาน 100%

— thkang
แหล่งที่มา

9

ตัวตรวจสอบการเต้นของหัวใจที่ไม่เข้าใจโปรโตคอลนั้นน่ารำคาญ

— Falcon Momot

ใช่ - ตัวอย่างเช่นหากเซิร์ฟเวอร์ sshd ของคุณกำลังทำงานบนอินสแตนซ์ AWS EC2 และคุณได้กำหนดค่าไว้ด้านหลัง Elastic Load Balancer พร้อมการตรวจสุขภาพที่พอร์ต SSH คุณจะเห็นข้อความนี้ในบันทึกทุกครั้งที่การตรวจสุขภาพทำงาน .

— Hugh W

10

นี่เป็นไปได้มากที่สุดว่าการตอบกลับของเซิร์ฟเวอร์นั้นเป็นการยืนยัน เครื่อง

— JTrunk
แหล่งที่มา

คุณช่วยอธิบายว่าอุปกรณ์ comm ประเภทใดที่ทำเช่นนี้และทำไม

— Elliott B

7

SSH โยนข้อความดังกล่าวเมื่อมีคนพยายามเข้าถึง แต่ไม่ทำตามขั้นตอนให้เสร็จ ตัวอย่างเช่นถ้า NMS กำลังตรวจสอบว่าพอร์ต ssh 22 อัพหรือไม่มันก็จะพยายามเชื่อมต่อกับพอร์ต 22 และหากการเชื่อมต่อสำเร็จก็จะวางสายในกรณีเช่นนี้ SSH จะรายงานเหมือนกัน

ดังนั้นจึงเป็นเพราะการสแกนพอร์ต SSH

— Suyash Jain
แหล่งที่มา

1

ลองเปลี่ยนพอร์ต ssh จาก 22 เป็นอันอื่นในsshd_config:

sudo nano /etc/ssh/sshd_config

ถ้ามันไม่ได้หยุดการส่งข้อความปัญหานอกจากนี้ยังสามารถเกิดจากการนี้: Freebpx เกิดข้อผิดพลาดใน sshd / var / log / แฟ้มบันทึกที่เชื่อถือได้หรือดูการอภิปรายที่นี่"ไม่ได้รับบัตรประจำตัวสตริง" ใน auth.logในฟอรั่อูบุนตู

— Meriadoc Brandybuck
แหล่งที่มา

1

ขอบคุณข้อความสแปมได้หายไป (อย่างน้อยก็ตอนนี้) และฉันไม่ได้ติดตั้ง freepbx

— thkang

0

หากคุณสงสัยว่าใครกำลังสแกนพอร์ตหรือพยายามตรวจสอบสิทธิ์ในเครื่องของคุณเพียงตรวจสอบ:

# whois 211.110.33.50

# KOREAN(UTF8)

조회하신 IPv4주소는 한국인터넷진흥원으로부터 아래의 관리대행자에게 할당되었으며, 할당 정보는 다음과 같습니다.

[ 네트워크 할당 정보 ]
IPv4주소           : 211.110.0.0 - 211.110.239.255 (/17+/18+/19+/20)

เป็นต้น

— private_nodez
แหล่งที่มา

0

มันอาจเป็นความพยายามในการใช้ประโยชน์จากบัฟเฟอร์โอเวอร์โฟลที่รู้จักกันดี

เอกสารนี้อยู่ในตัวกรอง/etc/fail2ban/filter.d/sshd-ddos.confซึ่งคุณสามารถเปิดใช้งานเพื่อป้องกันตัวคุณเองจากการพยายามแฮ็คเหล่านี้:

Fail2Ban ssh filter for at attempted exploit
The regex here also relates to a exploit:
http://www.securityfocus.com/bid/17958/exploit
The example code here shows the pushing of the exploit straight after
reading the server version. This is where the client version string normally
pushed. As such the server will read this unparsible information as
"Did not receive identification string".

สตริงเป้าหมายสำหรับการหาประโยชน์นี้คือ (คาดเดาอะไร) "ไม่ได้รับสตริงการระบุจาก ... "

คุณสามารถแยกความแตกต่างของการเชื่อมต่อที่ถูกต้องจากเครือข่ายผู้ให้บริการของคุณเพื่อวัตถุประสงค์ในการตรวจสอบโดยแหล่งที่ไม่ได้รับอนุญาตอื่น ๆ เพียงแค่ตรวจสอบช่วงเครือข่ายของที่อยู่ IP ระยะไกล

เป็นไปได้ที่จะสั่งตัวกรอง fail2ban (ผ่านคำสั่ง 'ignoreregex') เพื่อเพิกเฉยต่อความพยายามที่ถูกต้องตามกฎหมาย

— Demis Palma ツ
แหล่งที่มา