Я никогда раньше не видел этого в своих журналах sshd:
Mar 16 17:21:48 x-server sshd[9848]: Bad protocol version identification '\026\003\001' from 45.143.221.50 port 35026
Mar 16 17:21:48 x-server sshd[9849]: Bad protocol version identification '\026\003\001' from 45.143.221.50 port 35254
Mar 16 17:21:48 x-server sshd[9850]: Bad protocol version identification 'GET / HTTP/1.1' from 45.143.221.50 port 35384
Mar 16 17:21:48 x-server sshd[9851]: Bad protocol version identification 'GET /vtigercrm/vtigerservice.php HTTP/1.1' from 45.143.221.50 port 35608
Mar 16 17:21:48 x-server sshd[9852]: Bad protocol version identification '\026\003\001' from 45.143.221.50 port 35810
Mar 16 17:21:48 x-server sshd[9853]: Bad protocol version identification 'GET /a2billing/admin/Public/index.php HTTP/1.1' from 45.143.221.50 port 36000
Mar 16 20:57:24 x-server sshd[10424]: Bad protocol version identification 'GET / HTTP/1.1' from 18.206.190.72 port 43800
Эта атака, похоже, отправляет http-запросы через инициализацию SSH-соединения, в то время как на этой машине не запущен веб-сервер и не установлен PHP. Для меня также загадка, как порты были сопоставлены с sshd в этих случаях, поскольку этот sshd находится за NAT и не подключен напрямую к Интернету.
Как можно смягчить такую атаку?
решение1
Я понятия не имею, как это прошло через NAT. Но я отвечу на остальное.
Порт — это не протокол: В то время как ssh обычно находится на порту 22, а http на порту 80. Это только для того, чтобы мы могли легко их найти. В этих протоколах и портах нет ничего фиксированного.
Похоже, что произошло следующее: веб-браузер (или веб-паук) попытался подключиться к порту 22 (возможно, он пробует все порты). Ваш ssh-сервер полностью защищен от этого. Это пример того, что клиент не прошел аутентификацию должным образом. Просто убедитесь, что ваши журналы ротируются, чтобы они не заполняли ваш диск.
Нет соединения ssh. Соединение ssh еще не установлено, соединение все еще на уровне TCP/IP.
Запрос, поступающий с удаленного компьютера, не зависит от программного обеспечения, установленного на вашем компьютере. Например, когда кто-то подключается к веб-сайту, он не проверяет сначала, какое программное обеспечение установлено на сервере.