sshd 로그가 "에서 식별 문자열을받지 못했습니다"

17 
Mar  2 02:34:02 freetalker3 sshd[28436]: Did not receive identification string from 211.110.33.50
Mar  2 02:34:08 freetalker3 sshd[28439]: Did not receive identification string from 211.110.33.50
Mar  2 02:34:13 freetalker3 sshd[28442]: Did not receive identification string from 211.110.33.50
Mar  2 02:34:19 freetalker3 sshd[28445]: Did not receive identification string from 211.110.33.50
Mar  2 02:34:24 freetalker3 sshd[28448]: Did not receive identification string from 211.110.33.50
Mar  2 02:34:30 freetalker3 sshd[28451]: Did not receive identification string from 211.110.33.50
Mar  2 02:34:35 freetalker3 sshd[28454]: Did not receive identification string from 211.110.33.50
Mar  2 02:34:41 freetalker3 sshd[28457]: Did not receive identification string from 211.110.33.50
Mar  2 02:34:46 freetalker3 sshd[28460]: Did not receive identification string from 211.110.33.50
Mar  2 02:34:52 freetalker3 sshd[28463]: Did not receive identification string from 211.110.33.50
Mar  2 02:34:57 freetalker3 sshd[28466]: Did not receive identification string from 211.110.33.50
Mar  2 02:35:03 freetalker3 sshd[28469]: Did not receive identification string from 211.110.33.50
Mar  2 02:35:08 freetalker3 sshd[28472]: Did not receive identification string from 211.110.33.50
Mar  2 02:35:14 freetalker3 sshd[28475]: Did not receive identification string from 211.110.33.50
Mar  2 02:35:20 freetalker3 sshd[28478]: Did not receive identification string from 211.110.33.50
Mar  2 02:35:25 freetalker3 sshd[28481]: Did not receive identification string from 211.110.33.50
Mar  2 02:35:31 freetalker3 sshd[28484]: Did not receive identification string from 211.110.33.50
Mar  2 02:35:36 freetalker3 sshd[28488]: Did not receive identification string from 211.110.33.50

내 /var/log/auth.log에 이러한 메시지가 가득 차 있으며 6 초마다 스팸으로 처리됩니다. 내 서버가 vps에 있고 IP가 내부 IP 인 것처럼 보입니다. 이 문제의 원인은 무엇입니까?

ssh 
thkang
소스
cron 작업이 루트에서 실행되고 있습니까?
Shimon Rachlenko

답변:

4

엉망인 (놀랍습니다!)은 ssh를 망치고 시스템에 들어가는 사용자 이름 / 비밀번호 조합을 찾으려고합니다. 아마 의심하지 않는 다른 희생자들이 몇 명인지 아는 사람과 똑같은 일을하는 봇넷에서 온 것 같습니다.

fail2ban 또는 DenyHosts (일부는 Linux 배포에 사용 가능) 와 같은 것을 설치 하거나 SSH 연결 시도를 제한하도록 로컬 방화벽을 설정하십시오. SSH 포트를 변경하면 바보 같은 무차별 대입 시도가 실패하지만 합법적 인 사용도 실패합니다.

폰 브란트
소스
잊지 마세요 : sshguard
0xC0000022L
3
암호 세트를 협상하기에 충분히 멀지 않은 경우 암호를 사용하지 않습니다.
Jo Rhett
15
이 답변은 완전히 틀 렸으며 약간 오도합니다. 아래에서 언급 한 것처럼이 메시지가 표시되면 연결이 사용자 이름을 제공하는 단계에 이르지 못했기 때문에 사용자 이름을 추측 할 수 없습니다. a) 합법적으로 시스템이 살아 있는지 확인합니다.-또는 b) 공격 할 ssh 포트를 스캔하는 것입니다. 그러나 b)의 경우 일반적으로 주어진 다른 주소에서 하나의 단일 메시지 만 볼 수 있습니다. 감시를 위해 keepalive가 완료되면 일부 개인 또는 시스템이 시스템을 재부팅하여 시스템을 재부팅하게 될 수 있습니다.
Michael
33

실제로 이것은 호스팅 제공 업체에서 제공 한 것으로 6 초마다 VPS를 스팸 처리하여 웹 콘솔에 서버 상태를 표시합니다. 내 sshd가 응답하면 서버가 활성화 된 것으로 표시됩니다.

방금 OpenVPN을 설치하고 SSH를 통해서만 SSH를 허용 했으므로 공급자에 따르면 서버가 100 % 다운 타임을 자랑합니다.

thkang
소스
9
프로토콜에 둔감 한 하트 비트 체커는 성가시다.
Falcon Momot
예-예를 들어 sshd 서버가 AWS EC2 인스턴스에서 실행 중이고 SSH 포트에서 상태 확인을 통해 Elastic Load Balancer 뒤에 구성한 경우 상태 확인이 실행될 때마다이 메시지가 로그에 표시됩니다 .
휴 W
10

이것은 통신에서 Keepalive (서버가 응답하는지 확인) 일 가능성이 높습니다. 장치.

J 트렁크
소스
어떤 유형의 통신 장치가이를 수행 할 수 있으며 그 이유를 설명 할 수 있습니까?
Elliott B
7

이러한 메시지는 누군가 누군가 액세스하려고했지만 단계를 완료하지 못한 경우 SSH에 의해 발생합니다. 예를 들어 NMS가 포트 ssh 22의 작동 여부를 확인하는 경우 단순히 포트 22에서 연결을 시도하고 연결에 성공하면 연결이 끊어집니다. 이러한 경우 SSH는 동일하게보고합니다.

SSH 포트 스캔 때문입니다.

수야 쉬자인
소스
1

ssh 포트를 22에서 다른 포트로 변경하십시오 sshd_config.

sudo nano /etc/ssh/sshd_config

메시지를 중지하지 않으면이 문제가 발생할 수도 있습니다. Freebpx는 / var / log / secure 로그 파일에서 sshd 오류를 발생 시키거나 Ubuntu 포럼의 auth.log 에서 "식별 문자열을받지 못했습니다"에 대한 토론을 참조하십시오 .

메리아 독 브랜디 벅
소스
1
감사합니다. 스팸 메시지가 사라졌습니다 (적어도 현재). freepbx가 설치되어 있지 않습니다.
thkang
0

누가 포트 스캔을하는지 궁금하거나 머신에서 인증을 시도하는 경우 다음을 확인하십시오.

# whois 211.110.33.50

# KOREAN(UTF8)

조회하신 IPv4주소는 한국인터넷진흥원으로부터 아래의 관리대행자에게 할당되었으며, 할당 정보는 다음과 같습니다.

[ 네트워크 할당 정보 ]
IPv4주소           : 211.110.0.0 - 211.110.239.255 (/17+/18+/19+/20)

기타

private_nodez
소스
0

잘 알려진 버퍼 오버 플로우 익스플로잇을 수행하려는 시도 일 수도 있습니다.

필터에 문서화되어 있으며 /etc/fail2ban/filter.d/sshd-ddos.conf이러한 해킹 시도로 자신을 보호 할 수 있습니다.

Fail2Ban ssh filter for at attempted exploit
The regex here also relates to a exploit:
http://www.securityfocus.com/bid/17958/exploit
The example code here shows the pushing of the exploit straight after
reading the server version. This is where the client version string normally
pushed. As such the server will read this unparsible information as
"Did not receive identification string".

이 익스플로잇의 대상 문자열은 (추측 내용이 무엇입니까?) "...에서 식별 문자열을받지 못했습니다"

원격 IP 주소의 네트워크 범위를 확인하여 다른 무단 소스에 의해 모니터링 목적으로 공급자 네트워크에서 들어오는 합법적 인 연결을 구별 할 수 있습니다.

합법적 인 시도를 무시하기 위해 fail2ban 필터 ( 'ignoreregex'지시문을 통해)를 지시 할 수 있습니다.

데미스 팔마 ツ
소스
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.