Dove si trova il file di registro sshd e come spiegare le informazioni del registro?

Naviga le tue risposte
0

Per inserire journalctl dopo aver effettuato l'accesso al mio vps. 

journalctl _COMM=sshd -f  

Feb 16 06:34:40 localhost sshd[324]: Bad protocol version identification 'GET / HTTP/1.0' from 23.252.100.22 port 38876
Feb 16 06:34:40 localhost sshd[325]: Did not receive identification string from 23.252.100.22
Feb 16 07:34:40 localhost sshd[326]: Bad protocol version identification 'GET / HTTP/1.0' from 23.252.100.22 port 40602
Feb 16 07:34:40 localhost sshd[327]: Did not receive identification string from 23.252.100.22
Feb 16 08:34:40 localhost sshd[328]: Bad protocol version identification 'GET / HTTP/1.0' from 23.252.100.22 port 38298
Feb 16 08:34:40 localhost sshd[329]: Did not receive identification string from 23.252.100.22
Feb 16 09:34:41 localhost sshd[348]: Bad protocol version identification 'GET / HTTP/1.0' from 23.252.100.22 port 42132
Feb 16 09:34:41 localhost sshd[349]: Did not receive identification string from 23.252.100.22
Feb 16 10:34:39 localhost sshd[350]: Bad protocol version identification 'GET / HTTP/1.0' from 23.252.100.22 port 60988
Feb 16 10:34:39 localhost sshd[351]: Did not receive identification string from 23.252.100.22
Feb 16 11:34:40 localhost sshd[352]: Bad protocol version identification 'GET / HTTP/1.0' from 23.252.100.22 port 33850
Feb 16 11:34:40 localhost sshd[353]: Did not receive identification string from 23.252.100.22
Feb 16 12:34:39 localhost sshd[354]: Bad protocol version identification 'GET / HTTP/1.0' from 23.252.100.22 port 44998
Feb 16 12:34:39 localhost sshd[355]: Did not receive identification string from 23.252.100.22
Feb 16 13:34:38 localhost sshd[356]: Bad protocol version identification 'GET / HTTP/1.0' from 23.252.100.22 port 52632
Feb 16 13:34:38 localhost sshd[357]: Did not receive identification string from 23.252.100.22
Feb 16 14:34:41 localhost sshd[358]: Bad protocol version identification 'GET / HTTP/1.0' from 23.252.100.22 port 43864
Feb 16 14:34:41 localhost sshd[359]: Did not receive identification string from 23.252.100.22
Feb 16 15:34:40 localhost sshd[360]: Bad protocol version identification 'GET / HTTP/1.0' from 23.252.100.22 port 53402
Feb 16 15:34:40 localhost sshd[361]: Did not receive identification string from 23.252.100.22

Il log indica che 23.252.100.22 (non il mio ip e non il mio ip ip) provano a decifrare la mia chiave vps?

Dove si trova il file contenente tali informazioni di registro?

    
posta it_is_a_literature 25.02.2017 - 03:56
fonte

2 risposte

1

Il client in 23.252.100.22 che sta tentando di connettersi al daemon SSH pensa che stia parlando con un server HTTP.

Il client invia una richiesta GET HTTP mentre il server SSH si aspetta effettivamente di ricevere un identificatore di versione - motivo per cui il daemon confonde la query HTTP con una stringa di versione SSH e la registra come un errore. È molto improbabile che ciò sia correlato a una particolare vulnerabilità piuttosto che a una semplice mancata corrispondenza del protocollo.

    
risposta data 25.02.2017 - 15:04
fonte
2

Bad protocol version identification 'GET / HTTP/1.0' from 23.252.100.22 port 38876

Sembra che un bot stia inviando messaggi non formattati a sshd. Non solo non è una stringa di versione, ma è una riga di una richiesta http - che non ha alcun senso nel contesto di ssh.

Potrebbe essere il tentativo di innescare una vulnerabilità di cui non sono a conoscenza, ma penso che probabilmente sia solo mal programmata.

In ogni caso, la risposta è la stessa: fai il tuo standard sshd hardening. Disabilitare l'autenticazione della password, disabilitare il login di root, installare e configurare fail2ban.

    
risposta data 25.02.2017 - 04:09
fonte

Leggi altre domande sui tag

È possibile incorporare una backdoor in un'immagine? [duplicare] Problemi di comprensione SAQ Una domanda 12.8.5