sshd log penuh "Tidak menerima string identifikasi dari"

17

Mar  2 02:34:02 freetalker3 sshd[28436]: Did not receive identification string from 211.110.33.50
Mar  2 02:34:08 freetalker3 sshd[28439]: Did not receive identification string from 211.110.33.50
Mar  2 02:34:13 freetalker3 sshd[28442]: Did not receive identification string from 211.110.33.50
Mar  2 02:34:19 freetalker3 sshd[28445]: Did not receive identification string from 211.110.33.50
Mar  2 02:34:24 freetalker3 sshd[28448]: Did not receive identification string from 211.110.33.50
Mar  2 02:34:30 freetalker3 sshd[28451]: Did not receive identification string from 211.110.33.50
Mar  2 02:34:35 freetalker3 sshd[28454]: Did not receive identification string from 211.110.33.50
Mar  2 02:34:41 freetalker3 sshd[28457]: Did not receive identification string from 211.110.33.50
Mar  2 02:34:46 freetalker3 sshd[28460]: Did not receive identification string from 211.110.33.50
Mar  2 02:34:52 freetalker3 sshd[28463]: Did not receive identification string from 211.110.33.50
Mar  2 02:34:57 freetalker3 sshd[28466]: Did not receive identification string from 211.110.33.50
Mar  2 02:35:03 freetalker3 sshd[28469]: Did not receive identification string from 211.110.33.50
Mar  2 02:35:08 freetalker3 sshd[28472]: Did not receive identification string from 211.110.33.50
Mar  2 02:35:14 freetalker3 sshd[28475]: Did not receive identification string from 211.110.33.50
Mar  2 02:35:20 freetalker3 sshd[28478]: Did not receive identification string from 211.110.33.50
Mar  2 02:35:25 freetalker3 sshd[28481]: Did not receive identification string from 211.110.33.50
Mar  2 02:35:31 freetalker3 sshd[28484]: Did not receive identification string from 211.110.33.50
Mar  2 02:35:36 freetalker3 sshd[28488]: Did not receive identification string from 211.110.33.50

/Var/log/auth.log saya penuh dengan pesan-pesan ini, spammed setiap 6 detik. server saya ada di vps dan ip sepertinya itu adalah ip internal. apa yang bisa menjadi penyebab masalah ini?

ssh terima kasih
sumber

Apakah Anda memiliki pekerjaan cron yang berjalan di bawah root ?

Shimon Rachlenko

4

Beberapa penjahat (kejutan!) Sedang menggedor ssh untuk mencoba menemukan kombinasi nama pengguna / kata sandi yang memasukkan mereka ke dalam sistem. Mungkin dari beberapa botnet melakukan hal yang sama kepada siapa yang tahu berapa banyak korban yang tidak curiga.

Instal sesuatu seperti fail2ban atau DenyHosts (beberapa dari keduanya harus tersedia untuk distribusi Linux apa pun), atau atur firewall lokal Anda untuk membatasi upaya koneksi SSH. Mengubah port SSH membuat brute force gagal mencoba, tetapi juga membuat penggunaan yang sah gagal.

vonbrand
sumber

Jangan lupa: sshguard

0xC0000022L

3

Mereka tidak mencoba kata sandi jika mereka tidak cukup jauh untuk menegosiasikan crypto set.

Jo Rhett

15

Jawaban ini sepenuhnya salah dan agak menyesatkan. Seperti yang disebutkan di bawah ini, jika Anda mendapatkan pesan ini koneksi tidak sampai pada tahap memberikan nama pengguna sehingga tidak dapat mencoba menebaknya. Itu bisa a) memeriksa secara sah mesin Anda masih hidup - yang baik atau b) memindai port ssh yang akan diserang. Namun dalam kasus b) Anda biasanya hanya melihat satu pesan dari alamat lain yang diberikan. Anda mungkin berakhir dengan mesin Anda di-boot ulang oleh beberapa orang atau sistem yang mencoba untuk memperbaiki hal-hal jika keepalive dilakukan untuk pemantauan.

Michael

32

Sebenarnya, ini dari penyedia hosting saya - mereka meng-spam VPS saya setiap 6 detik, untuk menunjukkan status server saya di konsol web mereka. Server saya ditampilkan aktif jika sshd saya menjawabnya.

Saya baru saja menginstal OpenVPN dan hanya memperbolehkan SSH melalui itu - jadi, menurut penyedia saya server saya menawarkan downtime 100%.

terima kasih
sumber

9

Pemeriksa detak jantung yang tidak sensitif terhadap protokol mengganggu.

Falcon Momot

Ya - misalnya, jika server sshd Anda berjalan pada instance AWS EC2 dan Anda telah mengonfigurasinya di belakang Elastic Load Balancer dengan pemeriksaan kesehatan di port SSH, Anda akan melihat pesan ini di log setiap kali pemeriksaan kesehatan berjalan .

Hugh W

10

Kemungkinan besar ini adalah keepalive (memverifikasi server merespons) dari kom. alat.

JTrunk
sumber

Bisakah Anda jelaskan jenis perangkat comm yang dapat melakukan ini dan mengapa?

Elliott B

7

Pesan tersebut dilemparkan oleh SSH ketika seseorang mencoba mengaksesnya tetapi tidak menyelesaikan langkah-langkahnya. Sebagai contoh jika NMS memeriksa apakah port ssh 22 sudah atau tidak, itu hanya akan mencoba untuk terhubung pada port 22 dan jika koneksi berhasil, itu akan menutup, dalam kasus seperti itu SSH melaporkan hal yang sama.

Jadi itu karena pemindaian port SSH.

Suyash Jain
sumber

1

Coba ubah ssh port dari 22 ke yang lain di sshd_config:

sudo nano /etc/ssh/sshd_config

Jika tidak menghentikan pesan, masalahnya juga dapat disebabkan oleh ini: Freebpx menyebabkan kesalahan sshd di / var / log / file log aman atau lihat diskusi di sini "Tidak menerima string identifikasi" di auth.log di forum Ubuntu.

Meriadoc Brandybuck
sumber

1

terima kasih, pesan spam telah hilang (setidaknya untuk saat ini) dan saya tidak menginstal freepbx.

thkang

0

Jika Anda bertanya-tanya siapa yang memindai port atau mencoba mengautentikasi pada mesin Anda cukup periksa:

# whois 211.110.33.50

# KOREAN(UTF8)

조회하신 IPv4주소는 한국인터넷진흥원으로부터 아래의 관리대행자에게 할당되었으며, 할당 정보는 다음과 같습니다.

[ 네트워크 할당 정보 ]
IPv4주소           : 211.110.0.0 - 211.110.239.255 (/17+/18+/19+/20)

dll.

private_nodez
sumber

0

Mungkin juga merupakan upaya untuk melakukan exploit buffer overflow yang terkenal.

Ini didokumentasikan dalam filter /etc/fail2ban/filter.d/sshd-ddos.conf, yang dapat Anda aktifkan untuk melindungi diri Anda dengan upaya peretasan ini:

Fail2Ban ssh filter for at attempted exploit
The regex here also relates to a exploit:
http://www.securityfocus.com/bid/17958/exploit
The example code here shows the pushing of the exploit straight after
reading the server version. This is where the client version string normally
pushed. As such the server will read this unparsible information as
"Did not receive identification string".

String target untuk exploit ini adalah (coba tebak?) "Tidak menerima string identifikasi dari ..."

Anda dapat membedakan koneksi yang sah yang berasal dari jaringan penyedia Anda untuk tujuan pemantauan, oleh sumber lain yang tidak sah, hanya dengan memeriksa rentang jaringan dari alamat IP jarak jauh.

Dimungkinkan untuk menginstruksikan filter fail2ban (melalui arahan 'ignoreregex') untuk mengabaikan upaya yang sah sesuai.

Demis Palma ツ
sumber

sshd log penuh "Tidak menerima string identifikasi dari"

Jawaban: