Quale scopo viene offerto da reimpostazioni di connessioni ripetute?

1

I miei registri server vengono riempiti con Connection Reset by xxx.xxx.xxx.xxx [preauth] :

$ cat /var/log/auth.log | grep 'Connection Reset'
Mar 13 19:52:30 server sshd[29366]: Connection reset by xxx.xxx.xxx.xxx [preauth]
Mar 13 19:52:33 server sshd[29366]: Connection reset by xxx.xxx.xxx.xxx [preauth]
Mar 13 19:52:41 server sshd[29366]: Connection reset by xxx.xxx.xxx.xxx [preauth]
Mar 13 19:52:50 server sshd[29366]: Connection reset by xxx.xxx.xxx.xxx [preauth]
Mar 13 19:52:53 server sshd[29366]: Connection reset by xxx.xxx.xxx.xxx [preauth]
...

Questo va avanti per ore e ore. L'indirizzo IP in questione non ha tentato alcun tentativo di accesso legittimo.

A quanto ho capito, la reimpostazione della connessione è approssimativamente analoga alla composizione del telefono di qualcuno, quindi immediatamente al riaggancio. Quindi quale obiettivo sta cercando di raggiungere questa persona?

(Come domanda secondaria, esiste un'espressione regolare fail2ban che rileverà questo comportamento e lo interromperà?)

    
posta user14717 14.03.2016 - 00:42
fonte

1 risposta

2

Dovresti usare grep 'Connection Reset' /var/log/auth.log -A 2 (non usare cat poiché non è utile, e usare -A per ottenere il contesto sopra le linee corrispondenti).

La mia ipotesi è che il tuo server sia sottoposto a un bruto forzato, dovresti essere in grado di vedere i tentativi con il comando precedente. L'attaccante sta chiudendo le connessioni non appena sa che non avrà successo e riproverà ancora e ancora.

Questo è qualcosa di molto comune, vedi questa domanda per sapere come bloccarli.

    
risposta data 14.03.2016 - 00:57
fonte

Leggi altre domande sui tag