27 votes

thkang avatar

sshd log plein de "Did not receive identification string from "

Demandé el 1 de Mars, 2013
Quand la question a-t-elle été
141668 affichage
Nombre de visites la question a
5 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question 
Mar  2 02:34:02 freetalker3 sshd[28436]: Did not receive identification string from 211.110.33.50
Mar  2 02:34:08 freetalker3 sshd[28439]: Did not receive identification string from 211.110.33.50
Mar  2 02:34:13 freetalker3 sshd[28442]: Did not receive identification string from 211.110.33.50
Mar  2 02:34:19 freetalker3 sshd[28445]: Did not receive identification string from 211.110.33.50
Mar  2 02:34:24 freetalker3 sshd[28448]: Did not receive identification string from 211.110.33.50
Mar  2 02:34:30 freetalker3 sshd[28451]: Did not receive identification string from 211.110.33.50
Mar  2 02:34:35 freetalker3 sshd[28454]: Did not receive identification string from 211.110.33.50
Mar  2 02:34:41 freetalker3 sshd[28457]: Did not receive identification string from 211.110.33.50
Mar  2 02:34:46 freetalker3 sshd[28460]: Did not receive identification string from 211.110.33.50
Mar  2 02:34:52 freetalker3 sshd[28463]: Did not receive identification string from 211.110.33.50
Mar  2 02:34:57 freetalker3 sshd[28466]: Did not receive identification string from 211.110.33.50
Mar  2 02:35:03 freetalker3 sshd[28469]: Did not receive identification string from 211.110.33.50
Mar  2 02:35:08 freetalker3 sshd[28472]: Did not receive identification string from 211.110.33.50
Mar  2 02:35:14 freetalker3 sshd[28475]: Did not receive identification string from 211.110.33.50
Mar  2 02:35:20 freetalker3 sshd[28478]: Did not receive identification string from 211.110.33.50
Mar  2 02:35:25 freetalker3 sshd[28481]: Did not receive identification string from 211.110.33.50
Mar  2 02:35:31 freetalker3 sshd[28484]: Did not receive identification string from 211.110.33.50
Mar  2 02:35:36 freetalker3 sshd[28488]: Did not receive identification string from 211.110.33.50

Mon /var/log/auth.log est rempli de ces messages, envoyés toutes les 6 secondes. Mon serveur est sur vps et l'ip semble être une ip interne. Quelle pourrait être la cause de ce problème ?

Demandé el 1 de Mars, 2013 par thkang

0 votes

Avatar de Shimon Rachlenko

Avez-vous des tâches cron qui s'exécutent sous racine ?

Commenté el 1 de Mars, 2013 par Shimon Rachlenko

Réponses

Trop de publicités?

40voto

thkang avatar
thkang Points 723

En fait, cela venait de mon fournisseur d'hébergement - ils envoient des spams à mon VPS toutes les 6 secondes, pour montrer l'état de mon serveur sur leur console web. Mon serveur est affiché comme actif si mon sshd leur répond.

Je viens d'installer OpenVPN et j'ai autorisé le SSH uniquement par ce biais. Ainsi, selon mes fournisseurs, mon serveur se vante d'une indisponibilité de 100%.

Répondu el 7 de Mai, 2013 par thkang (723 Points )

14 votes

Avatar de Falcon Momot

Les vérificateurs de battements de cœur insensibles au protocole sont ennuyeux.

Commenté el 8 de Mai, 2013 par Falcon Momot

1 votes

Avatar de redxef

Oui -- par exemple, si votre serveur sshd s'exécute sur une instance AWS EC2 et que vous l'avez configuré derrière un Elastic Load Balancer avec un contrôle de santé sur le port SSH, vous verrez ce message dans les journaux à chaque fois que le contrôle de santé s'exécute.

Commenté el 28 de Février, 2018 par redxef

14voto

user199474 avatar
user199474 Points 31

Il s'agit très probablement d'un keepalive (vérification que le serveur répond) provenant d'un périphérique de communication.

Répondu el 15 de Novembre, 2013 par user199474 (31 Points )

0 votes

Avatar de Winfred

Pouvez-vous expliquer quels types de dispositifs de communication pourraient faire cela et pourquoi ?

Commenté el 19 de Juin, 2018 par Winfred

9voto

Suyash Jain avatar
Suyash Jain Points 241

De tels messages sont envoyés par SSH lorsque quelqu'un a essayé d'y accéder mais n'a pas terminé les étapes. Par exemple, si NMS vérifie si le port ssh 22 est ouvert ou non, il essaiera simplement de se connecter sur le port 22 et si la connexion est réussie, il raccrochera, dans de tels cas SSH rapporte la même chose.

Donc c'est à cause d'un scan de port SSH.

Répondu el 21 de Août, 2014 par Suyash Jain (241 Points )

4voto

vonbrand avatar
vonbrand Points 1163

Un mécréant (surprise !) s'acharne sur ssh pour essayer de trouver une combinaison nom d'utilisateur/mot de passe qui lui permette de s'introduire dans le système. Il s'agit probablement d'un botnet qui fait la même chose à qui sait combien d'autres victimes sans méfiance.

Installez quelque chose comme fail2ban o DenyHosts (les deux devraient être disponibles pour toute distribution Linux), ou configurez votre pare-feu local pour limiter les tentatives de connexion SSH. La modification du port SSH fait échouer les tentatives de force brute, mais aussi les utilisations légitimes.

Répondu el 2 de Mars, 2013 par vonbrand (1163 Points )

0 votes

Avatar de XTL

N'oubliez pas : sshguard

Commenté el 2 de Mars, 2013 par XTL

5 votes

Avatar de Quaffer

Ils n'essaient pas les mots de passe s'ils ne sont pas allés assez loin pour négocier le jeu de crypto-monnaies.

Commenté el 18 de Avril, 2017 par Quaffer

28 votes

Avatar de bmcnett

Cette réponse est totalement erronée et quelque peu trompeuse. Comme indiqué ci-dessous, si vous obtenez ce message, c'est que la connexion n'est pas parvenue au stade de l'attribution d'un nom d'utilisateur et qu'elle ne peut donc pas essayer d'en deviner un. Il peut être a) en train de vérifier légitimement que votre machine est vivante - ce qui est très bien - ou b) en train de scanner les ports ssh qu'il pourrait attaquer. Cependant, dans le cas b), vous ne devriez normalement voir qu'un seul message provenant d'une autre adresse donnée. Vous pourriez vous retrouver avec votre machine redémarrée par une personne ou un système essayant de réparer les choses si le keepalive est fait pour la surveillance.

Commenté el 5 de Septembre, 2017 par bmcnett

1voto

Meriadoc Brandybuck avatar
Meriadoc Brandybuck Points 1292

Essayez de changer le port ssh de 22 à un autre dans sshd_config :

sudo nano /etc/ssh/sshd_config

Si cela n'arrête pas les messages, le problème peut aussi être causé par ceci : Freebpx provoque des erreurs sshd dans le fichier de log /var/log/secure ou voir la discussion ici "N'a pas reçu de chaîne d'identification" dans auth.log sur les forums Ubuntu.

Répondu el 1 de Mars, 2013 par Meriadoc Brandybuck (1292 Points )

1 votes

Avatar de thkang

Merci, les messages spammés ont disparu (du moins pour l'instant) et je n'ai pas installé freepbx.

Commenté el 1 de Mars, 2013 par thkang

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X