sshd लॉग से भरा "से पहचान स्ट्रिंग नहीं मिला"

Mar  2 02:34:02 freetalker3 sshd[28436]: Did not receive identification string from 211.110.33.50
Mar  2 02:34:08 freetalker3 sshd[28439]: Did not receive identification string from 211.110.33.50
Mar  2 02:34:13 freetalker3 sshd[28442]: Did not receive identification string from 211.110.33.50
Mar  2 02:34:19 freetalker3 sshd[28445]: Did not receive identification string from 211.110.33.50
Mar  2 02:34:24 freetalker3 sshd[28448]: Did not receive identification string from 211.110.33.50
Mar  2 02:34:30 freetalker3 sshd[28451]: Did not receive identification string from 211.110.33.50
Mar  2 02:34:35 freetalker3 sshd[28454]: Did not receive identification string from 211.110.33.50
Mar  2 02:34:41 freetalker3 sshd[28457]: Did not receive identification string from 211.110.33.50
Mar  2 02:34:46 freetalker3 sshd[28460]: Did not receive identification string from 211.110.33.50
Mar  2 02:34:52 freetalker3 sshd[28463]: Did not receive identification string from 211.110.33.50
Mar  2 02:34:57 freetalker3 sshd[28466]: Did not receive identification string from 211.110.33.50
Mar  2 02:35:03 freetalker3 sshd[28469]: Did not receive identification string from 211.110.33.50
Mar  2 02:35:08 freetalker3 sshd[28472]: Did not receive identification string from 211.110.33.50
Mar  2 02:35:14 freetalker3 sshd[28475]: Did not receive identification string from 211.110.33.50
Mar  2 02:35:20 freetalker3 sshd[28478]: Did not receive identification string from 211.110.33.50
Mar  2 02:35:25 freetalker3 sshd[28481]: Did not receive identification string from 211.110.33.50
Mar  2 02:35:31 freetalker3 sshd[28484]: Did not receive identification string from 211.110.33.50
Mar  2 02:35:36 freetalker3 sshd[28488]: Did not receive identification string from 211.110.33.50

My /var/log/auth.log इन संदेशों से भरा है, हर 6 सेकंड में स्पैम किया जाता है। मेरा सर्वर vps पर है और आईपी ऐसा लगता है जैसे यह एक आंतरिक आईपी है। इस मुद्दे का कारण क्या हो सकता है?

कुछ उपद्रवियों (आश्चर्य!) को उपयोगकर्ता नाम / पासवर्ड संयोजन खोजने का प्रयास करने के लिए ssh पर हथौड़ा चलाना पड़ता है जो उन्हें सिस्टम में मिलता है। संभवत: कुछ बोटनेट से ऐसा करने से पता चलता है कि कितने अन्य असुरक्षित शिकार हैं।

की तरह कुछ स्थापित fail2ban या denyhosts (दोनों में से कुछ किसी भी लिनक्स वितरण के लिए उपलब्ध होना चाहिए), या सीमा SSH कनेक्शन प्रयास करने के लिए अपने स्थानीय फ़ायरवॉल की स्थापना की। SSH पोर्ट को बदलने से गूंगा ब्रूट बल विफल हो जाता है, लेकिन यह भी वैध उपयोग विफल रहता है।

वास्तव में, यह मेरे होस्टिंग प्रदाता से था - वे मेरे वीपीएस को हर 6 सेकंड में स्पैम करते हैं, अपने सर्वर को अपने वेब कंसोल पर दिखाने के लिए। यदि मेरा sshd उनका उत्तर देता है तो मेरा सर्वर सक्रिय है।

मैंने अभी OpenVPN स्थापित किया है और SSH को केवल उसी के माध्यम से अनुमति दी है - इसलिए, मेरे प्रदाताओं के अनुसार मेरा सर्वर 100% डाउनटाइम समेटे हुए है।

यह संभवतया एक कॉमलैक्टिव (सर्वर का जवाब दे रहा है) एक कॉम से है। डिवाइस।

इस तरह के संदेश एसएसएच द्वारा फेंके गए हैं जब किसी ने इसे एक्सेस करने की कोशिश की, लेकिन चरणों को पूरा नहीं किया। उदाहरण के लिए यदि NMS जाँच कर रहा है कि क्या पोर्ट ssh 22 अप है या नहीं, यह केवल पोर्ट 22 पर कनेक्ट करने का प्रयास करेगा और यदि कनेक्शन सफल होता है, तो यह लटका रहेगा, ऐसे मामलों में SSH ही रिपोर्ट करता है।

तो यह SSH पोर्ट स्कैन के कारण है।

22 से दूसरे में ssh पोर्ट बदलने की कोशिश करें sshd_config:

sudo nano /etc/ssh/sshd_config

यदि यह संदेशों को बंद नहीं करता है, तो समस्या इसके कारण भी हो सकती है: Freebpx ने उबंटू मंचों पर स्थित SSL.log में "var / log / Secure log फ़ाइल " में sshd त्रुटियों या " चर्चा के दौरान पहचान स्ट्रिंग नहीं मिली" यहां चर्चा देखें ।

यदि आप कभी यह सोचते हैं कि आपके मशीन पर प्रमाणित करने की कोशिश करने वाले पोर्ट की स्कैनिंग कौन कर रहा है:

# whois 211.110.33.50

# KOREAN(UTF8)

조회하신 IPv4주소는 한국인터넷진흥원으로부터 아래의 관리대행자에게 할당되었으며, 할당 정보는 다음과 같습니다.

[ 네트워크 할당 정보 ]
IPv4주소           : 211.110.0.0 - 211.110.239.255 (/17+/18+/19+/20)

आदि।

यह एक अच्छी तरह से ज्ञात बफर अतिप्रवाह शोषण करने का प्रयास भी हो सकता है।

यह फ़िल्टर में प्रलेखित है /etc/fail2ban/filter.d/sshd-ddos.conf, जिसे आप इन हैक प्रयासों द्वारा स्वयं को सुरक्षित करने में सक्षम हो सकते हैं:

Fail2Ban ssh filter for at attempted exploit
The regex here also relates to a exploit:
http://www.securityfocus.com/bid/17958/exploit
The example code here shows the pushing of the exploit straight after
reading the server version. This is where the client version string normally
pushed. As such the server will read this unparsible information as
"Did not receive identification string".

इस शोषण के लिए लक्ष्य स्ट्रिंग है (क्या लगता है?) "से पहचान स्ट्रिंग प्राप्त नहीं हुआ ..."

आप अपने प्रदाता नेटवर्क से आने वाले वैध कनेक्शन को किसी अन्य अनधिकृत स्रोतों से, बस दूरस्थ आईपी पते की नेटवर्क रेंज की जांच करके अलग कर सकते हैं।

तदनुसार असफल प्रयास को अनदेखा करने के लिए, फेल 2 एबन फिल्टर (fail इग्नोरेजेक्स ’निर्देश के माध्यम से) को निर्देश देना संभव है।