27 votes

thkang avatar

sshd log plein de "Did not receive identification string from "

Demandé el 1 de Mars, 2013
Quand la question a-t-elle été
141669 affichage
Nombre de visites la question a
4 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question 
Mar  2 02:34:02 freetalker3 sshd[28436]: Did not receive identification string from 211.110.33.50
Mar  2 02:34:08 freetalker3 sshd[28439]: Did not receive identification string from 211.110.33.50
Mar  2 02:34:13 freetalker3 sshd[28442]: Did not receive identification string from 211.110.33.50
Mar  2 02:34:19 freetalker3 sshd[28445]: Did not receive identification string from 211.110.33.50
Mar  2 02:34:24 freetalker3 sshd[28448]: Did not receive identification string from 211.110.33.50
Mar  2 02:34:30 freetalker3 sshd[28451]: Did not receive identification string from 211.110.33.50
Mar  2 02:34:35 freetalker3 sshd[28454]: Did not receive identification string from 211.110.33.50
Mar  2 02:34:41 freetalker3 sshd[28457]: Did not receive identification string from 211.110.33.50
Mar  2 02:34:46 freetalker3 sshd[28460]: Did not receive identification string from 211.110.33.50
Mar  2 02:34:52 freetalker3 sshd[28463]: Did not receive identification string from 211.110.33.50
Mar  2 02:34:57 freetalker3 sshd[28466]: Did not receive identification string from 211.110.33.50
Mar  2 02:35:03 freetalker3 sshd[28469]: Did not receive identification string from 211.110.33.50
Mar  2 02:35:08 freetalker3 sshd[28472]: Did not receive identification string from 211.110.33.50
Mar  2 02:35:14 freetalker3 sshd[28475]: Did not receive identification string from 211.110.33.50
Mar  2 02:35:20 freetalker3 sshd[28478]: Did not receive identification string from 211.110.33.50
Mar  2 02:35:25 freetalker3 sshd[28481]: Did not receive identification string from 211.110.33.50
Mar  2 02:35:31 freetalker3 sshd[28484]: Did not receive identification string from 211.110.33.50
Mar  2 02:35:36 freetalker3 sshd[28488]: Did not receive identification string from 211.110.33.50

Mon /var/log/auth.log est rempli de ces messages, envoyés toutes les 6 secondes. Mon serveur est sur vps et l'ip semble être une ip interne. Quelle pourrait être la cause de ce problème ?

Demandé el 1 de Mars, 2013 par thkang

0 votes

Avatar de Shimon Rachlenko

Avez-vous des tâches cron qui s'exécutent sous racine ?

Commenté el 1 de Mars, 2013 par Shimon Rachlenko

Réponses

Trop de publicités?

1voto

Demis Palma ツ avatar
Demis Palma ツ Points 121

Il pourrait également s'agir d'une tentative d'exploitation d'un dépassement de tampon bien connu.

C'est documenté dans le filtre /etc/fail2ban/filter.d/sshd-ddos.conf que vous pouvez activer pour vous protéger de ces tentatives de piratage :

Fail2Ban ssh filter for at attempted exploit
The regex here also relates to a exploit:
http://www.securityfocus.com/bid/17958/exploit
The example code here shows the pushing of the exploit straight after
reading the server version. This is where the client version string normally
pushed. As such the server will read this unparsible information as
"Did not receive identification string".

La chaîne cible de cet exploit est (devinez quoi ?) "N'a pas reçu de chaîne d'identification de ...".

Vous pouvez distinguer les connexions légitimes provenant du réseau de votre fournisseur à des fins de surveillance, de toute autre source non autorisée, en vérifiant simplement la portée réseau de l'adresse IP distante.

Il est possible de donner des instructions au filtre fail2ban (par le biais de la directive 'ignoreregex') afin d'ignorer les tentatives légitimes en conséquence.

Répondu el 18 de Mai, 2019 par Demis Palma ツ (121 Points )

1voto

blimmer avatar
blimmer Points 101

Dans mon cas, cela a été causé par le bilan de santé de mon équilibreur de charge élastique (ELB). En effet, je souhaite que l'équilibreur de charge s'assure que sssd est exécuté sur mon hôte, donc ce message était attendu dans mon cas d'utilisation. Pour mon cas d'utilisation spécifique, l'utilisation de AWS FireLens j'ai pu filtrer ces messages en utilisant la fonction exclude-patterns de l'objet de configuration.

Cette question a été notée au-dessus de dans un commentaire, mais je l'ai manqué les premières fois que j'ai lu cet article, donc je voulais le poster comme une réponse séparée, de haut niveau.

Répondu el 16 de Avril, 2020 par blimmer (101 Points )

1voto

ppedaGG avatar
ppedaGG Points 11

Dans mon cas, ces entrées de journal étaient produites toutes les 5 minutes à cause d'un scan régulier du service par samhain - même si j'utilisais un port personnalisé (autre que 22) pour le serveur SSH. Désactiver la détection de nouveaux services devrait vous éviter ces entrées de journal ennuyeuses (mais peut aussi affaiblir la protection de votre IDS).

Répondu el 1 de Novembre, 2020 par ppedaGG (11 Points )

0voto

ceykooo avatar
ceykooo Points 2203

Si vous vous demandez qui scanne les ports ou essaie de s'authentifier sur votre machine, il suffit de vérifier :

# whois 211.110.33.50

# KOREAN(UTF8)

 IPv4    ,    .

[    ]
IPv4           : 211.110.0.0 - 211.110.239.255 (/17+/18+/19+/20)

etc.

Répondu el 1 de Novembre, 2014 par ceykooo (2203 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X