Eu nunca vi isso antes em meus logs sshd:
Mar 16 17:21:48 x-server sshd[9848]: Bad protocol version identification '\026\003\001' from 45.143.221.50 port 35026
Mar 16 17:21:48 x-server sshd[9849]: Bad protocol version identification '\026\003\001' from 45.143.221.50 port 35254
Mar 16 17:21:48 x-server sshd[9850]: Bad protocol version identification 'GET / HTTP/1.1' from 45.143.221.50 port 35384
Mar 16 17:21:48 x-server sshd[9851]: Bad protocol version identification 'GET /vtigercrm/vtigerservice.php HTTP/1.1' from 45.143.221.50 port 35608
Mar 16 17:21:48 x-server sshd[9852]: Bad protocol version identification '\026\003\001' from 45.143.221.50 port 35810
Mar 16 17:21:48 x-server sshd[9853]: Bad protocol version identification 'GET /a2billing/admin/Public/index.php HTTP/1.1' from 45.143.221.50 port 36000
Mar 16 20:57:24 x-server sshd[10424]: Bad protocol version identification 'GET / HTTP/1.1' from 18.206.190.72 port 43800
Este ataque parece enviar solicitações http através de uma inicialização de conexão SSH enquanto nenhum servidor web está em execução nesta máquina e nenhum PHP está instalado. Também é um mistério para mim como as portas foram mapeadas para sshd nesses casos, já que esse sshd está atrás de um NAT e não está diretamente conectado à internet.
Como posso mitigar esse ataque?
Responder1
Não tenho ideia de como passou por um NAT. Mas responderei o resto.
Uma porta não é um protocolo: enquanto o ssh geralmente está na porta 22 e o http na porta 80. Isso é apenas para que possamos encontrá-los facilmente. Não há nada fixo sobre esses protocolos e portas.
O que parece ter acontecido é que um navegador da web (ou web-spider) tentou se conectar à porta 22 (talvez esteja tentando todas as portas). Seu servidor ssh está completamente protegido contra isso. É um exemplo de cliente que não está autenticando corretamente. Apenas certifique-se de que seus logs sejam rotacionados, para que não encham sua unidade.
Não há conexão ssh. A conexão ssh ainda não está ativa, a conexão ainda está no nível TCP/IP.
A solicitação vinda do controle remoto independe do software instalado em sua máquina. Por exemplo, quando alguém se conecta a um site, ele não verifica primeiro qual software está instalado no servidor.