sshd লগ পূর্ণ "থেকে সনাক্তকরণ স্ট্রিং গ্রহণ করেনি"

Mar  2 02:34:02 freetalker3 sshd[28436]: Did not receive identification string from 211.110.33.50
Mar  2 02:34:08 freetalker3 sshd[28439]: Did not receive identification string from 211.110.33.50
Mar  2 02:34:13 freetalker3 sshd[28442]: Did not receive identification string from 211.110.33.50
Mar  2 02:34:19 freetalker3 sshd[28445]: Did not receive identification string from 211.110.33.50
Mar  2 02:34:24 freetalker3 sshd[28448]: Did not receive identification string from 211.110.33.50
Mar  2 02:34:30 freetalker3 sshd[28451]: Did not receive identification string from 211.110.33.50
Mar  2 02:34:35 freetalker3 sshd[28454]: Did not receive identification string from 211.110.33.50
Mar  2 02:34:41 freetalker3 sshd[28457]: Did not receive identification string from 211.110.33.50
Mar  2 02:34:46 freetalker3 sshd[28460]: Did not receive identification string from 211.110.33.50
Mar  2 02:34:52 freetalker3 sshd[28463]: Did not receive identification string from 211.110.33.50
Mar  2 02:34:57 freetalker3 sshd[28466]: Did not receive identification string from 211.110.33.50
Mar  2 02:35:03 freetalker3 sshd[28469]: Did not receive identification string from 211.110.33.50
Mar  2 02:35:08 freetalker3 sshd[28472]: Did not receive identification string from 211.110.33.50
Mar  2 02:35:14 freetalker3 sshd[28475]: Did not receive identification string from 211.110.33.50
Mar  2 02:35:20 freetalker3 sshd[28478]: Did not receive identification string from 211.110.33.50
Mar  2 02:35:25 freetalker3 sshd[28481]: Did not receive identification string from 211.110.33.50
Mar  2 02:35:31 freetalker3 sshd[28484]: Did not receive identification string from 211.110.33.50
Mar  2 02:35:36 freetalker3 sshd[28488]: Did not receive identification string from 211.110.33.50

আমার /var/log/auth.log এই বার্তাগুলিতে পূর্ণ, প্রতি 6 সেকেন্ডে স্প্যামযুক্ত। আমার সার্ভারটি ভিপিএসে রয়েছে এবং আইপি মনে হচ্ছে এটি কোনও অভ্যন্তরীণ আইপি। এই সমস্যার কারণ কি হতে পারে?

কিছু দুষ্কৃতকারী (আশ্চর্য!) এসএসএসে হাতুড়ি দিচ্ছে যাতে তাদের ব্যবহারকারীর নাম / পাসওয়ার্ডের সংমিশ্রণটি সিস্টেমে প্রবেশ করে। সম্ভবত কিছু বোটনেট থেকে একই কাজ করছেন কে কে জানে যে আরও কতটা অনিশ্চয়তার শিকার।

ভালো কিছু ইনস্টল করুন fail2ban বা DenyHosts (উভয় কিছু কোন লিনাক্স ডিস্ট্রিবিউশনের জন্য পাওয়া উচিত), অথবা সীমা SSH সংযোগ করার জন্য প্রচেষ্টার সংখ্যা আপনার স্থানীয় ফায়ারওয়াল সেট আপ করুন। এসএসএইচ বন্দর পরিবর্তন করার ফলে বোবা প্রাণীর শক্তির চেষ্টা ব্যর্থ হয়, তবে এটি বৈধ ব্যবহারগুলিকে ব্যর্থ করে তোলে।

প্রকৃতপক্ষে, এটি আমার হোস্টিং সরবরাহকারীর কাছ থেকে ছিল - তারা তাদের ওয়েব কনসোলটিতে আমার সার্ভারের স্থিতি প্রদর্শন করতে প্রতি 6 সেকেন্ডে আমার ভিপিএস স্প্যাম করে। আমার এসএসডি তাদের উত্তর দিলে আমার সার্ভারটি সক্রিয় হিসাবে প্রদর্শিত হয়।

আমি কেবল ওপেনভিপিএন ইনস্টল করেছি এবং এসএসএইচটিকে কেবল এর মাধ্যমে অনুমতি দিয়েছি - সুতরাং, আমার সরবরাহকারীদের মতে আমার সার্ভারটি 100% ডাউনটাইম নিয়ে গর্ব করে।

এটি সম্ভবত কোনও কমপ থেকে কোনও রক্ষণশীল (সার্ভারের যাচাই করা যাচাই করছে)) যন্ত্র.

এসএসএইচ দ্বারা এই বার্তাগুলি নিক্ষেপ করা হয় যখন কেউ এটি অ্যাক্সেস করার চেষ্টা করে তবে পদক্ষেপগুলি শেষ করেনি। উদাহরণস্বরূপ, যদি এনএমএস পোর্ট ssh 22 চালু আছে কিনা তা খতিয়ে দেখছে, এটি কেবল 22 পোর্টের সাথে সংযোগ স্থাপনের চেষ্টা করবে এবং যদি সংযোগটি সফল হয় তবে এটি স্তব্ধ হয়ে যাবে, যেমন ক্ষেত্রে এসএসএইচ একই রিপোর্ট করে।

সুতরাং এটি কোনও এসএসএইচ পোর্ট স্ক্যানের কারণে।

22 এর থেকে অন্যটিতে এসএস পোর্টটি পরিবর্তন করার চেষ্টা করুন sshd_config:

sudo nano /etc/ssh/sshd_config

যদি এটি বার্তাগুলি থামায় না, তবে সমস্যাটি এর ফলেও হতে পারে: ফ্রিবিপিএক্স / var / লগ / সুরক্ষিত লগ ফাইলে এসএসডি ত্রুটি সৃষ্টি করে বা উবুন্টু ফোরামে auth.log এ "সনাক্তকরণের স্ট্রিংটি পাইনি" এখানে আলোচনা দেখুন ।

আপনি যদি কখনও ভাবছেন যে কে পোর্ট স্ক্যান করছে বা আপনার মেশিনে প্রমাণীকরণের চেষ্টা করছে কেবল পরীক্ষা করুন:

# whois 211.110.33.50

# KOREAN(UTF8)

조회하신 IPv4주소는 한국인터넷진흥원으로부터 아래의 관리대행자에게 할당되었으며, 할당 정보는 다음과 같습니다.

[ 네트워크 할당 정보 ]
IPv4주소           : 211.110.0.0 - 211.110.239.255 (/17+/18+/19+/20)

প্রভৃতি

এটি একটি সুপরিচিত বাফার ওভারফ্লো শোষণ চালানোর চেষ্টাও হতে পারে।

এটি ফিল্টারটিতে নথিভুক্ত করা হয়েছে /etc/fail2ban/filter.d/sshd-ddos.conf, যা আপনি এই হ্যাক প্রচেষ্টা দ্বারা নিজেকে রক্ষা করতে সক্ষম করতে পারেন:

Fail2Ban ssh filter for at attempted exploit
The regex here also relates to a exploit:
http://www.securityfocus.com/bid/17958/exploit
The example code here shows the pushing of the exploit straight after
reading the server version. This is where the client version string normally
pushed. As such the server will read this unparsible information as
"Did not receive identification string".

এই শোষণের জন্য লক্ষ্যযুক্ত স্ট্রিংটি (অনুমান কী?) "এর থেকে সনাক্তকরণের স্ট্রিংটি পেল না ..."

অন্য যে কোনও অননুমোদিত উত্স দ্বারা, কেবল দূরবর্তী আইপি ঠিকানার নেটওয়ার্ক পরিসীমা পরীক্ষা করে আপনি আপনার সরবরাহকারীর নেটওয়ার্ক থেকে আগত বৈধ সংযোগগুলি আলাদা করতে পারেন।

বৈধ প্রয়াস তদনুসারে উপেক্ষা করার জন্য ব্যর্থ 2 বা ফিল্টারকে নির্দেশ দেওয়া সম্ভব ('অব্রেরেজেক্স' নির্দেশের মাধ্যমে)।