sshd ログでこれを見たことがありません:
Mar 16 17:21:48 x-server sshd[9848]: Bad protocol version identification '\026\003\001' from 45.143.221.50 port 35026
Mar 16 17:21:48 x-server sshd[9849]: Bad protocol version identification '\026\003\001' from 45.143.221.50 port 35254
Mar 16 17:21:48 x-server sshd[9850]: Bad protocol version identification 'GET / HTTP/1.1' from 45.143.221.50 port 35384
Mar 16 17:21:48 x-server sshd[9851]: Bad protocol version identification 'GET /vtigercrm/vtigerservice.php HTTP/1.1' from 45.143.221.50 port 35608
Mar 16 17:21:48 x-server sshd[9852]: Bad protocol version identification '\026\003\001' from 45.143.221.50 port 35810
Mar 16 17:21:48 x-server sshd[9853]: Bad protocol version identification 'GET /a2billing/admin/Public/index.php HTTP/1.1' from 45.143.221.50 port 36000
Mar 16 20:57:24 x-server sshd[10424]: Bad protocol version identification 'GET / HTTP/1.1' from 18.206.190.72 port 43800
この攻撃は、このマシンで Web サーバーが実行されておらず、PHP もインストールされていない状態で、SSH 接続開始を介して http リクエストを送信するようです。また、この sshd は NAT の背後にあり、インターネットに直接接続されていないため、このような場合にポートが sshd にどのようにマップされているのかも私にはわかりません。
このような攻撃を軽減するにはどうすればよいでしょうか?
答え1
NAT をどうやって通過したのかは分かりません。しかし、残りの部分についてはお答えします。
ポートはプロトコルではありません。通常、ssh はポート 22、http はポート 80 にあります。これは、簡単に見つけられるようにするためだけです。これらのプロトコルとポートについては何も固定されていません。
発生したと思われるのは、Web ブラウザ (または Web スパイダー) がポート 22 に接続しようとした (すべてのポートを試している可能性があります) ことです。SSH サーバーは、この影響を受けずに完全に安全です。これは、クライアントが適切に認証されていない例です。ログがローテーションされていることを確認し、ドライブがいっぱいにならないようにしてください。
SSH 接続がありません。SSH 接続はまだ確立されておらず、接続はまだ TCP/IP レベルにあります。
リモートからのリクエストは、マシンにインストールされているソフトウェアとは無関係です。たとえば、誰かが Web サイトに接続するとき、最初にサーバーにインストールされているソフトウェアを確認することはありません。