¿Para qué sirve el restablecimiento de conexión repetido?

1

Los registros de mi servidor se están llenando con Connection Reset by xxx.xxx.xxx.xxx [preauth] :

$ cat /var/log/auth.log | grep 'Connection Reset'
Mar 13 19:52:30 server sshd[29366]: Connection reset by xxx.xxx.xxx.xxx [preauth]
Mar 13 19:52:33 server sshd[29366]: Connection reset by xxx.xxx.xxx.xxx [preauth]
Mar 13 19:52:41 server sshd[29366]: Connection reset by xxx.xxx.xxx.xxx [preauth]
Mar 13 19:52:50 server sshd[29366]: Connection reset by xxx.xxx.xxx.xxx [preauth]
Mar 13 19:52:53 server sshd[29366]: Connection reset by xxx.xxx.xxx.xxx [preauth]
...

Esto continúa durante horas y horas. La dirección IP en cuestión no ha intentado ningún intento de inicio de sesión legítimo.

Según tengo entendido, un restablecimiento de la conexión es más o menos análogo a marcar el teléfono de alguien y luego colgarlo de inmediato. Entonces, ¿qué objetivo está tratando de lograr esta persona?

(Como una pregunta secundaria, ¿hay un regex fail2ban que detectará este comportamiento y lo detendrá?)

    
pregunta user14717 14.03.2016 - 00:42
fuente

1 respuesta

2

Debería usar grep 'Connection Reset' /var/log/auth.log -A 2 (no use cat ya que no es útil, y use -A para obtener el contexto sobre las líneas coincidentes).

Mi conjetura es que su servidor está siendo forzado con una fuerza bruta, debería poder ver los intentos con el comando anterior. El atacante está cerrando las conexiones tan pronto como sabe que no tendrá éxito, y vuelve a intentarlo una y otra vez.

Esto es algo muy común, consulte esta pregunta para saber como bloquearlos.

    
respondido por el Benoit Esnard 14.03.2016 - 00:57
fuente

Lea otras preguntas en las etiquetas