SSHD-Protokoll voll mit "Keine Identifikationszeichenfolge erhalten von"

16 
Mar  2 02:34:02 freetalker3 sshd[28436]: Did not receive identification string from 211.110.33.50
Mar  2 02:34:08 freetalker3 sshd[28439]: Did not receive identification string from 211.110.33.50
Mar  2 02:34:13 freetalker3 sshd[28442]: Did not receive identification string from 211.110.33.50
Mar  2 02:34:19 freetalker3 sshd[28445]: Did not receive identification string from 211.110.33.50
Mar  2 02:34:24 freetalker3 sshd[28448]: Did not receive identification string from 211.110.33.50
Mar  2 02:34:30 freetalker3 sshd[28451]: Did not receive identification string from 211.110.33.50
Mar  2 02:34:35 freetalker3 sshd[28454]: Did not receive identification string from 211.110.33.50
Mar  2 02:34:41 freetalker3 sshd[28457]: Did not receive identification string from 211.110.33.50
Mar  2 02:34:46 freetalker3 sshd[28460]: Did not receive identification string from 211.110.33.50
Mar  2 02:34:52 freetalker3 sshd[28463]: Did not receive identification string from 211.110.33.50
Mar  2 02:34:57 freetalker3 sshd[28466]: Did not receive identification string from 211.110.33.50
Mar  2 02:35:03 freetalker3 sshd[28469]: Did not receive identification string from 211.110.33.50
Mar  2 02:35:08 freetalker3 sshd[28472]: Did not receive identification string from 211.110.33.50
Mar  2 02:35:14 freetalker3 sshd[28475]: Did not receive identification string from 211.110.33.50
Mar  2 02:35:20 freetalker3 sshd[28478]: Did not receive identification string from 211.110.33.50
Mar  2 02:35:25 freetalker3 sshd[28481]: Did not receive identification string from 211.110.33.50
Mar  2 02:35:31 freetalker3 sshd[28484]: Did not receive identification string from 211.110.33.50
Mar  2 02:35:36 freetalker3 sshd[28488]: Did not receive identification string from 211.110.33.50

Meine Datei /var/log/auth.log enthält alle 6 Sekunden Spam-Nachrichten. mein server ist auf vps und die ip scheint eine interne ip zu sein. Was könnte die Ursache für dieses Problem sein?

ssh thkang
quelle
Haben Sie Cron-Jobs, die unter root laufen ?
Shimon Rachlenko

Antworten:

5

Einige Bösewichte (Überraschung!) Hämmern ssh an, um eine Kombination aus Benutzername und Passwort zu finden, die sie in das System bringt. Wahrscheinlich von einem Botnetz, das das Gleiche tut, um zu wissen, wie viele andere ahnungslose Opfer es gibt.

Installieren Sie so etwas wie fail2ban oder DenyHosts (einige von beiden sollten für jede Linux-Distribution verfügbar sein) oder richten Sie Ihre lokale Firewall ein, um SSH-Verbindungsversuche zu begrenzen. Wenn Sie den SSH-Port ändern, schlägt der Versuch mit brachialer Gewalt fehl, aber es schlägt auch die legitime Verwendung fehl.

vonbrand
quelle
Vergiss nicht: sshguard
0xC0000022L
3
Sie versuchen es nicht mit Passwörtern, wenn sie nicht weit genug gekommen sind, um den Kryptosatz auszuhandeln.
Jo Rhett
14
Diese Antwort ist völlig falsch und ein bisschen irreführend. Wenn Sie diese Nachricht erhalten, hat die Verbindung, wie unten erwähnt, nicht den Status eines Benutzernamens erreicht, sodass nicht versucht werden kann, einen Benutzernamen zu erraten. Es kann sein, a) zu Recht zu überprüfen, ob Ihr Computer in Betrieb ist - was in Ordnung ist oder b) nach SSH-Ports zu suchen, die er angreifen würde. In Fall b) würden Sie jedoch normalerweise nur eine einzige Nachricht von einer bestimmten anderen Adresse sehen. Möglicherweise wird Ihr Computer von einer Person oder einem System neu gestartet, die bzw. das versucht, Probleme zu beheben, wenn das Keepalive für die Überwachung durchgeführt wird.
Michael
31

Eigentlich war dies von meinem Hosting-Provider - sie haben alle 6 Sekunden meinen VPS als Spam gesendet, um meinen Serverstatus auf ihrer Webkonsole anzuzeigen. Mein Server wird als aktiv angezeigt, wenn mein SSHD darauf antwortet.

Ich habe gerade OpenVPN installiert und nur über dieses SSH zugelassen. Meinem Provider zufolge hat mein Server also 100% Ausfallzeit.

thkang
quelle
9
Protokollunempfindliche Heartbeat-Checker sind ärgerlich.
Falcon Momot
Ja. Wenn Ihr SSHD-Server beispielsweise auf einer AWS EC2-Instanz ausgeführt wird und Sie ihn hinter einem Elastic Load Balancer mit einer Integritätsprüfung am SSH-Port konfiguriert haben, wird diese Meldung jedes Mal in den Protokollen angezeigt, wenn die Integritätsprüfung ausgeführt wird .
Hugh W
9

Dies ist höchstwahrscheinlich ein Keepalive (Überprüfung, ob der Server antwortet) von einer Kommunikation. Gerät.

JTrunk
quelle
Können Sie erklären, welche Arten von Kommunikationsgeräten dies tun und warum?
Elliott B
6

Solche Nachrichten werden von SSH ausgelöst, wenn jemand versucht, darauf zuzugreifen, die Schritte jedoch nicht abgeschlossen hat. Wenn NMS beispielsweise prüft, ob Port ssh 22 aktiv ist oder nicht, versucht es einfach, eine Verbindung zu Port 22 herzustellen. Wenn die Verbindung erfolgreich hergestellt wurde, wird es auflegen. In solchen Fällen meldet SSH dasselbe.

Das liegt also an einem SSH-Port-Scan.

Suyash Jain
quelle
1

Versuchen Sie, den SSH-Port in folgenden Schritten von 22 auf einen anderen zu ändern sshd_config:

sudo nano /etc/ssh/sshd_config

Wenn Nachrichten nicht gestoppt werden, kann das Problem auch dadurch verursacht werden: Freebpx verursacht sshd-Fehler in / var / log / secure-Protokolldatei oder siehe Diskussion hier "Keine Identifikationszeichenfolge erhalten" in auth.log in Ubuntu-Foren.

Meriadoc Brandybock
quelle
1
danke, die Spamnachrichten sind (zumindest vorerst) verschwunden und ich habe freepbx nicht installiert.
Thkang
0

Wenn Sie sich jemals gefragt haben, wer den Port scannt oder versucht, sich auf Ihrem Computer zu authentifizieren, überprüfen Sie einfach Folgendes:

# whois 211.110.33.50

# KOREAN(UTF8)

조회하신 IPv4주소는 한국인터넷진흥원으로부터 아래의 관리대행자에게 할당되었으며, 할당 정보는 다음과 같습니다.

[ 네트워크 할당 정보 ]
IPv4주소           : 211.110.0.0 - 211.110.239.255 (/17+/18+/19+/20)

etc.

private_nodez
quelle
0

Dies könnte auch ein Versuch sein, einen bekannten Pufferüberlauf-Exploit durchzuführen.

Es ist im Filter dokumentiert /etc/fail2ban/filter.d/sshd-ddos.conf, den Sie aktivieren können, um sich durch diese Hackversuche zu schützen:

Fail2Ban ssh filter for at attempted exploit
The regex here also relates to a exploit:
http://www.securityfocus.com/bid/17958/exploit
The example code here shows the pushing of the exploit straight after
reading the server version. This is where the client version string normally
pushed. As such the server will read this unparsible information as
"Did not receive identification string".

Die Zielzeichenfolge für diesen Exploit lautet (raten Sie mal?) "Keine Identifikationszeichenfolge erhalten von ..."

Sie können legitime Verbindungen, die von Ihrem Providernetzwerk zu Überwachungszwecken stammen, von anderen nicht autorisierten Quellen unterscheiden, indem Sie einfach den Netzwerkbereich der Remote-IP-Adresse überprüfen.

Es ist möglich, den fail2ban-Filter (über die 'ignoreregex'-Direktive) anzuweisen, um legitime Versuche entsprechend zu ignorieren.

Demis Palma ツ
quelle