我以前從未在 sshd 日誌中看到過這一點:
Mar 16 17:21:48 x-server sshd[9848]: Bad protocol version identification '\026\003\001' from 45.143.221.50 port 35026
Mar 16 17:21:48 x-server sshd[9849]: Bad protocol version identification '\026\003\001' from 45.143.221.50 port 35254
Mar 16 17:21:48 x-server sshd[9850]: Bad protocol version identification 'GET / HTTP/1.1' from 45.143.221.50 port 35384
Mar 16 17:21:48 x-server sshd[9851]: Bad protocol version identification 'GET /vtigercrm/vtigerservice.php HTTP/1.1' from 45.143.221.50 port 35608
Mar 16 17:21:48 x-server sshd[9852]: Bad protocol version identification '\026\003\001' from 45.143.221.50 port 35810
Mar 16 17:21:48 x-server sshd[9853]: Bad protocol version identification 'GET /a2billing/admin/Public/index.php HTTP/1.1' from 45.143.221.50 port 36000
Mar 16 20:57:24 x-server sshd[10424]: Bad protocol version identification 'GET / HTTP/1.1' from 18.206.190.72 port 43800
此攻擊似乎是透過 SSH 連線啟動發送 http 請求,而電腦上沒有執行 Web 伺服器也沒有安裝 PHP。在這些情況下,連接埠如何映射到 sshd 對我來說也是一個謎,因為此 sshd 位於 NAT 之後並且不直接連接到互聯網。
我怎樣才能減輕這種攻擊?
答案1
我不知道它是如何通過 NAT 的。但剩下的我會回答。
連接埠不是協定:而 ssh 通常在連接埠 22 上,而 http 在連接埠 80 上。這些協定和連接埠沒有任何固定的內容。
似乎發生的事情是網頁瀏覽器(或網路蜘蛛)嘗試連接到連接埠 22(也許它正在嘗試所有連接埠)。你的 ssh 伺服器是完全安全的。這是客戶端未正確進行身份驗證的範例。只需確保您的日誌已輪換,這樣它們就不會填滿您的驅動器。
沒有 ssh 連線。 ssh 連線尚未建立,連線仍處於 TCP/IP 等級。
來自遠端的請求與您電腦上安裝的軟體無關。例如,當有人連接到網站時,他們不會先檢查伺服器上安裝了哪些軟體。