Mar 2 02:34:02 freetalker3 sshd[28436]: Did not receive identification string from 211.110.33.50
Mar 2 02:34:08 freetalker3 sshd[28439]: Did not receive identification string from 211.110.33.50
Mar 2 02:34:13 freetalker3 sshd[28442]: Did not receive identification string from 211.110.33.50
Mar 2 02:34:19 freetalker3 sshd[28445]: Did not receive identification string from 211.110.33.50
Mar 2 02:34:24 freetalker3 sshd[28448]: Did not receive identification string from 211.110.33.50
Mar 2 02:34:30 freetalker3 sshd[28451]: Did not receive identification string from 211.110.33.50
Mar 2 02:34:35 freetalker3 sshd[28454]: Did not receive identification string from 211.110.33.50
Mar 2 02:34:41 freetalker3 sshd[28457]: Did not receive identification string from 211.110.33.50
Mar 2 02:34:46 freetalker3 sshd[28460]: Did not receive identification string from 211.110.33.50
Mar 2 02:34:52 freetalker3 sshd[28463]: Did not receive identification string from 211.110.33.50
Mar 2 02:34:57 freetalker3 sshd[28466]: Did not receive identification string from 211.110.33.50
Mar 2 02:35:03 freetalker3 sshd[28469]: Did not receive identification string from 211.110.33.50
Mar 2 02:35:08 freetalker3 sshd[28472]: Did not receive identification string from 211.110.33.50
Mar 2 02:35:14 freetalker3 sshd[28475]: Did not receive identification string from 211.110.33.50
Mar 2 02:35:20 freetalker3 sshd[28478]: Did not receive identification string from 211.110.33.50
Mar 2 02:35:25 freetalker3 sshd[28481]: Did not receive identification string from 211.110.33.50
Mar 2 02:35:31 freetalker3 sshd[28484]: Did not receive identification string from 211.110.33.50
Mar 2 02:35:36 freetalker3 sshd[28488]: Did not receive identification string from 211.110.33.50
Meu /var/log/auth.log está cheio dessas mensagens, com spam a cada 6 segundos. meu servidor está no vps e o ip parece ser um ip interno. qual poderia ser a causa desse problema?
Respostas:
Alguns mal-entendidos (surpresa!) Estão martelando no ssh para tentar encontrar uma combinação de nome de usuário / senha que os leve ao sistema. Provavelmente de algum botnet fazendo o mesmo com quem sabe quantas outras vítimas inocentes.
Instale algo como fail2ban ou DenyHosts (alguns de ambos devem estar disponíveis para qualquer distribuição Linux) ou configure seu firewall local para limitar as tentativas de conexão SSH. Alterar a porta SSH faz com que as tentativas de força bruta mudem, mas também faz com que os usos legítimos falhem.
fonte
Na verdade, isso era do meu provedor de hospedagem - eles enviam spam para meu VPS a cada 6 segundos, para mostrar o status do meu servidor no console da web. Meu servidor é exibido como ativo se meu sshd responder a eles.
Acabei de instalar o OpenVPN e permiti o SSH somente por isso - de acordo com meus provedores, meu servidor possui 100% de tempo de inatividade.
fonte
Provavelmente, é um keepalive (verificando se o servidor está respondendo) de uma comunicação. dispositivo.
fonte
Essas mensagens são lançadas pelo SSH quando alguém tenta acessá-lo, mas não conclui as etapas. Por exemplo, se o NMS estiver verificando se a porta ssh 22 está ativa ou não, ela simplesmente tentará conectar-se à porta 22 e, se a conexão for bem-sucedida, ela será interrompida; nesses casos, o SSH reporta o mesmo.
Por isso, é devido a uma verificação de porta SSH.
fonte
Tente alterar a porta ssh de 22 para outra em
sshd_config
:Se não parar as mensagens, o problema também pode ser causado por isso: O Freebpx causa erros sshd no arquivo / var / log / secure log ou veja a discussão aqui "Não recebi a string de identificação" no auth.log nos fóruns do Ubuntu.
fonte
Se você já se perguntou quem está digitalizando a porta ou tentando se autenticar em sua máquina, verifique:
etc.
fonte
Também pode ser uma tentativa de realizar uma exploração bem conhecida de estouro de buffer.
Está documentado no filtro
/etc/fail2ban/filter.d/sshd-ddos.conf
, que você pode ativar para se proteger com estas tentativas de invasão:A sequência de destino para esta exploração é (adivinhem?) "Não recebeu a sequência de identificação de ..."
Você pode distinguir conexões legítimas da rede do provedor para fins de monitoramento, por qualquer outra fonte não autorizada, simplesmente verificando o alcance da rede do endereço IP remoto.
É possível instruir o filtro fail2ban (por meio da diretiva 'ignoreregex') para ignorar a tentativa legítima de acordo.
fonte