「から識別文字列を受信しませんでした」でいっぱいのsshdログ

16 
Mar  2 02:34:02 freetalker3 sshd[28436]: Did not receive identification string from 211.110.33.50
Mar  2 02:34:08 freetalker3 sshd[28439]: Did not receive identification string from 211.110.33.50
Mar  2 02:34:13 freetalker3 sshd[28442]: Did not receive identification string from 211.110.33.50
Mar  2 02:34:19 freetalker3 sshd[28445]: Did not receive identification string from 211.110.33.50
Mar  2 02:34:24 freetalker3 sshd[28448]: Did not receive identification string from 211.110.33.50
Mar  2 02:34:30 freetalker3 sshd[28451]: Did not receive identification string from 211.110.33.50
Mar  2 02:34:35 freetalker3 sshd[28454]: Did not receive identification string from 211.110.33.50
Mar  2 02:34:41 freetalker3 sshd[28457]: Did not receive identification string from 211.110.33.50
Mar  2 02:34:46 freetalker3 sshd[28460]: Did not receive identification string from 211.110.33.50
Mar  2 02:34:52 freetalker3 sshd[28463]: Did not receive identification string from 211.110.33.50
Mar  2 02:34:57 freetalker3 sshd[28466]: Did not receive identification string from 211.110.33.50
Mar  2 02:35:03 freetalker3 sshd[28469]: Did not receive identification string from 211.110.33.50
Mar  2 02:35:08 freetalker3 sshd[28472]: Did not receive identification string from 211.110.33.50
Mar  2 02:35:14 freetalker3 sshd[28475]: Did not receive identification string from 211.110.33.50
Mar  2 02:35:20 freetalker3 sshd[28478]: Did not receive identification string from 211.110.33.50
Mar  2 02:35:25 freetalker3 sshd[28481]: Did not receive identification string from 211.110.33.50
Mar  2 02:35:31 freetalker3 sshd[28484]: Did not receive identification string from 211.110.33.50
Mar  2 02:35:36 freetalker3 sshd[28488]: Did not receive identification string from 211.110.33.50

/var/log/auth.logにはこれらのメッセージがいっぱいで、6秒ごとにスパム送信されます。私のサーバーはvps上にあり、IPは内部IPのようです。この問題の原因は何ですか?

ssh 
スカン
ソース
rootの下でcronジョブを実行していますか?
シモンラクレンコ

回答:

4

悪意のある人(サプライズ!)がsshを攻撃して、システムに侵入するユーザー名/パスワードの組み合わせを見つけようとします。おそらく、ボットネットから同じことを行っている他の無防備な被害者を誰が知っているのか。

fail2banDenyHostsのようなもの(Linuxディストリビューションで使用可能なものの両方)をインストールするか、ローカルファイアウォールをセットアップしてSSH接続の試行を制限します。SSHポートを変更すると、無差別な総当たり攻撃が失敗しますが、正当な使用も失敗します。

フォンブランド
ソース
忘れないでください:sshguard
0xC0000022L
3
暗号セットをネゴシエートするのに十分な距離に達していない場合、彼らはパスワードを試していません。
ジョーレット
15
この答えは完全に間違っており、少し誤解を招く恐れがあります。以下で説明するように、このメッセージが表示された場合、接続はユーザー名を与える段階に達していないため、ユーザー名を推測することはできません。a)マシンが正常に動作していることを正当にチェックします-これは問題ありません。またはb)攻撃するsshポートをスキャンします。ただし、b)の場合、通常は他のアドレスから1つのメッセージのみが表示されます。キープアライブが監視のために行われた場合、何かを修正しようとする人またはシステムによってマシンが再起動される可能性があります。
マイケル
32

実際には、これは私のホスティングプロバイダーからのものでした-彼らはWebコンソールに私のサーバーステータスを表示するために、6秒ごとに私のVPSをスパムします。sshdが応答すると、サーバーはアクティブとして表示されます。

私はOpenVPNをインストールし、それを介してのみSSHを許可しました。したがって、私のプロバイダーによると、私のサーバーは100%のダウンタイムを誇っています。

スカン
ソース
9
プロトコルに依存しないハートビートチェッカーは迷惑です。
ファルコンモモット
はい-たとえば、sshdサーバーがAWS EC2インスタンスで実行されており、SSHポートのヘルスチェックを使用してElastic Load Balancerの背後に設定している場合、ヘルスチェックが実行されるたびにこのメッセージがログに表示されます。
ヒューW
9

これはおそらく、通信からのキープアライブ(サーバーが応答していることを確認する)です。端末。

JTrunk
ソース
これを行う通信デバイスの種類とその理由を説明できますか?
エリオットB
6

そのようなメッセージは、誰かがアクセスしようとしたがステップを完了しなかったときにSSHによってスローされます。たとえば、NMSがポートssh 22が起動しているかどうかを確認している場合、ポート22で接続しようとしますが、接続が成功するとハングアップします。そのような場合、SSHは同じを報告します。

これは、SSHポートスキャンが原因です。

スヤシュ・ジャイン
ソース
1

でsshポートを22から別のポートに変更してみてくださいsshd_config

sudo nano /etc/ssh/sshd_config

メッセージが停止しない場合、問題の原因は次のとおりです。Freebpxにより/ var / log / secureログファイルにsshdエラーが発生するか、Ubuntuフォーラムのauth.logの「識別文字列を受信できませんでし」の説明を参照してください。

メリアドックブランディバック
ソース
1
おかげで、スパムメッセージは(少なくとも今のところ)なくなっており、freepbxがインストールされていません。
thkang
0

誰がポートスキャンを実行しているのか、マシンで認証しようとしているのか疑問に思ったら、以下を確認してください。

# whois 211.110.33.50

# KOREAN(UTF8)

조회하신 IPv4주소는 한국인터넷진흥원으로부터 아래의 관리대행자에게 할당되었으며, 할당 정보는 다음과 같습니다.

[ 네트워크 할당 정보 ]
IPv4주소           : 211.110.0.0 - 211.110.239.255 (/17+/18+/19+/20)

private_nodez
ソース
0

よく知られているバッファオーバーフローエクスプロイトを実行する試みでもあります。

これはフィルター/etc/fail2ban/filter.d/sshd-ddos.confに文書化されており、これらのハック試行によって自分自身を保護することができます。

Fail2Ban ssh filter for at attempted exploit
The regex here also relates to a exploit:
http://www.securityfocus.com/bid/17958/exploit
The example code here shows the pushing of the exploit straight after
reading the server version. This is where the client version string normally
pushed. As such the server will read this unparsible information as
"Did not receive identification string".

このエクスプロイトのターゲット文字列は(何を推測しますか?)「...から識別文字列を受信しませんでした」

リモートIPアドレスのネットワーク範囲を確認するだけで、監視目的でプロバイダーネットワークからの正当な接続を、他の不正なソースによって区別できます。

それに応じて正当な試みを無視するために、( 'ignoreregex'ディレクティブを介して)fail2banフィルターに指示することができます。

デミス・パルマツ
ソース
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.