Nunca antes había visto esto en mis registros sshd:
Mar 16 17:21:48 x-server sshd[9848]: Bad protocol version identification '\026\003\001' from 45.143.221.50 port 35026
Mar 16 17:21:48 x-server sshd[9849]: Bad protocol version identification '\026\003\001' from 45.143.221.50 port 35254
Mar 16 17:21:48 x-server sshd[9850]: Bad protocol version identification 'GET / HTTP/1.1' from 45.143.221.50 port 35384
Mar 16 17:21:48 x-server sshd[9851]: Bad protocol version identification 'GET /vtigercrm/vtigerservice.php HTTP/1.1' from 45.143.221.50 port 35608
Mar 16 17:21:48 x-server sshd[9852]: Bad protocol version identification '\026\003\001' from 45.143.221.50 port 35810
Mar 16 17:21:48 x-server sshd[9853]: Bad protocol version identification 'GET /a2billing/admin/Public/index.php HTTP/1.1' from 45.143.221.50 port 36000
Mar 16 20:57:24 x-server sshd[10424]: Bad protocol version identification 'GET / HTTP/1.1' from 18.206.190.72 port 43800
Este ataque parece enviar solicitudes http a través de un inicio de conexión SSH mientras no hay ningún servidor web ejecutándose en esta máquina y no hay PHP instalado. También es un misterio para mí cómo se han asignado los puertos al sshd en estos casos, ya que este sshd está detrás de una NAT y no está conectado directamente a Internet.
¿Cómo puedo mitigar tal ataque?
Respuesta1
No tengo idea de cómo pasó una NAT. Pero responderé al resto.
Un puerto no es un protocolo: mientras que ssh suele estar en el puerto 22 y http en el puerto 80. Esto es sólo para que podamos encontrarlos fácilmente. No hay nada fijo sobre estos protocolos y puertos.
Lo que parece haber sucedido es que un navegador web (o una araña web) ha intentado conectarse al puerto 22 (tal vez esté intentando todos los puertos). Su servidor ssh está completamente a salvo de esto. Es un ejemplo de un cliente que no se autentica correctamente. Solo asegúrese de que sus registros estén rotados para que no llenen su disco.
No hay conexión ssh. La conexión ssh aún no está activa, la conexión todavía está en el nivel TCP/IP.
La petición procedente del mando a distancia es independiente del software instalado en su máquina. Por ejemplo, cuando alguien se conecta a un sitio web, primero no verifica qué software está instalado en el servidor.