내 SSHD 로그에서 이전에 이것을 본 적이 없습니다.
Mar 16 17:21:48 x-server sshd[9848]: Bad protocol version identification '\026\003\001' from 45.143.221.50 port 35026
Mar 16 17:21:48 x-server sshd[9849]: Bad protocol version identification '\026\003\001' from 45.143.221.50 port 35254
Mar 16 17:21:48 x-server sshd[9850]: Bad protocol version identification 'GET / HTTP/1.1' from 45.143.221.50 port 35384
Mar 16 17:21:48 x-server sshd[9851]: Bad protocol version identification 'GET /vtigercrm/vtigerservice.php HTTP/1.1' from 45.143.221.50 port 35608
Mar 16 17:21:48 x-server sshd[9852]: Bad protocol version identification '\026\003\001' from 45.143.221.50 port 35810
Mar 16 17:21:48 x-server sshd[9853]: Bad protocol version identification 'GET /a2billing/admin/Public/index.php HTTP/1.1' from 45.143.221.50 port 36000
Mar 16 20:57:24 x-server sshd[10424]: Bad protocol version identification 'GET / HTTP/1.1' from 18.206.190.72 port 43800
이 공격은 이 시스템에서 실행 중인 웹 서버가 없고 PHP가 설치되어 있지 않은 동안 SSH 연결 시작을 통해 http 요청을 보내는 것으로 보입니다. 이 sshd는 NAT 뒤에 있고 인터넷에 직접 연결되어 있지 않기 때문에 이러한 경우 포트가 sshd에 어떻게 매핑되었는지도 나에게는 미스터리입니다.
그러한 공격을 어떻게 완화할 수 있습니까?
답변1
NAT를 어떻게 통과했는지 전혀 모르겠습니다. 하지만 나머지는 대답하겠습니다.
포트는 프로토콜이 아닙니다. ssh는 일반적으로 포트 22에 있고 http는 포트 80에 있습니다. 이는 단지 쉽게 찾을 수 있도록 하기 위한 것입니다. 이러한 프로토콜과 포트에 대해 수정된 사항은 없습니다.
발생한 것으로 보이는 것은 웹 브라우저(또는 웹 스파이더)가 포트 22에 연결을 시도한 것입니다(아마도 모든 포트를 시도하고 있을 것입니다). ssh-server는 이것으로부터 완전히 안전합니다. 클라이언트가 제대로 인증되지 않은 예입니다. 로그가 회전되어 드라이브가 가득 차지 않도록 하세요.
SSH 연결이 없습니다. SSH 연결이 아직 설정되지 않았으며 연결은 여전히 TCP/IP 수준에 있습니다.
원격에서 오는 요청은 컴퓨터에 설치된 소프트웨어와 독립적입니다. 예를 들어, 누군가가 웹 사이트에 연결할 때 먼저 서버에 어떤 소프트웨어가 설치되어 있는지 확인하지 않습니다.