Das habe ich in meinen SSHD-Protokollen noch nie gesehen:
Mar 16 17:21:48 x-server sshd[9848]: Bad protocol version identification '\026\003\001' from 45.143.221.50 port 35026
Mar 16 17:21:48 x-server sshd[9849]: Bad protocol version identification '\026\003\001' from 45.143.221.50 port 35254
Mar 16 17:21:48 x-server sshd[9850]: Bad protocol version identification 'GET / HTTP/1.1' from 45.143.221.50 port 35384
Mar 16 17:21:48 x-server sshd[9851]: Bad protocol version identification 'GET /vtigercrm/vtigerservice.php HTTP/1.1' from 45.143.221.50 port 35608
Mar 16 17:21:48 x-server sshd[9852]: Bad protocol version identification '\026\003\001' from 45.143.221.50 port 35810
Mar 16 17:21:48 x-server sshd[9853]: Bad protocol version identification 'GET /a2billing/admin/Public/index.php HTTP/1.1' from 45.143.221.50 port 36000
Mar 16 20:57:24 x-server sshd[10424]: Bad protocol version identification 'GET / HTTP/1.1' from 18.206.190.72 port 43800
Dieser Angriff scheint HTTP-Anfragen über eine SSH-Verbindungsinitiierung zu senden, während auf dieser Maschine kein Webserver läuft und kein PHP installiert ist. Es ist mir auch ein Rätsel, wie die Ports in diesen Fällen auf SSHD abgebildet wurden, da sich dieses SSHD hinter einem NAT befindet und nicht direkt mit dem Internet verbunden ist.
Wie kann ich einen solchen Angriff abschwächen?
Antwort1
Ich habe keine Ahnung, wie es an einem NAT vorbeigekommen ist. Aber den Rest werde ich beantworten.
Ein Port ist kein Protokoll: Während SSH normalerweise auf Port 22 und HTTP auf Port 80 liegt. Dies dient nur dazu, dass wir sie leichter finden können. An diesen Protokollen und Ports ist nichts festgelegt.
Was anscheinend passiert ist, ist, dass ein Webbrowser (oder Web-Spider) versucht hat, eine Verbindung zu Port 22 herzustellen (vielleicht probiert er alle Ports aus). Ihr SSH-Server ist davor völlig sicher. Dies ist ein Beispiel für einen Client, der sich nicht richtig authentifiziert. Stellen Sie einfach sicher, dass Ihre Protokolle rotiert werden, damit sie Ihr Laufwerk nicht füllen.
Es besteht keine SSH-Verbindung. Die SSH-Verbindung ist noch nicht aktiv, die Verbindung befindet sich noch auf der TCP/IP-Ebene.
Die Anfrage von der Remote-Remote ist unabhängig von der auf Ihrem Computer installierten Software. Wenn sich beispielsweise jemand mit einer Website verbindet, prüft er nicht zuerst, welche Software auf dem Server installiert ist.