¿Qué sucede con las conexiones a / desde bluecoat?

1

Estoy intentando localizar una causa en un Error interno del servidor para un servidor Apache. La dirección IP cambió recientemente, por lo que pensé que la falla podría estar relacionada. Una búsqueda rápida de la antigua IP:

$ sudo grep -IR --exclude-dir="/var/run" '45.78.157.165' /var | egrep -v '(audit|access)'
/var/log/secure:Jun 21 14:08:34 cryptopp sshd[19729]: error: Received disconnect from 199.91.135.157: 3: com.jcraft.jsch.JSchException: reject HostKey: 45.78.157.165 [preauth]
/var/log/secure-20160626:Jun 21 14:08:34 cryptopp sshd[19729]: error: Received disconnect from 199.91.135.157: 3: com.jcraft.jsch.JSchException: reject HostKey: 45.78.157.165 [preauth]
/var/log/secure-20160626:Jun 21 14:08:34 cryptopp sshd[19729]: error: Received disconnect from 199.91.135.157: 3: com.jcraft.jsch.JSchException: reject HostKey: 45.78.157.165 [preauth]

com.jcraft.jsch.JSchException: reject HostKey es inusual, así que quería reunir más información. Una búsqueda rápida reveló que com.jcraft es una especie de Java Secure Channel . Entonces:

$ whois 199.91.135.157
...

NetRange:       199.91.132.0 - 199.91.135.255
CIDR:           199.91.132.0/22
NetName:        BCS-HQ-USA
NetHandle:      NET-199-91-132-0-1
Parent:         NET199 (NET-199-0-0-0-0)
NetType:        Direct Assignment
OriginAS:
Organization:   Bluecoat Systems, Inc. (BLUEC-8)
RegDate:        2011-02-04
Updated:        2012-03-02
Ref:            https://whois.arin.net/rest/net/NET-199-91-132-0-1

OrgName:        Bluecoat Systems, Inc.
OrgId:          BLUEC-8
Address:        420 N Mary Ave.
City:           Sunnyvale
StateProv:      CA
PostalCode:     94085
Country:        US
RegDate:        2007-01-23
Updated:        2013-01-28
Ref:            https://whois.arin.net/rest/org/BLUEC-8

OrgAbuseHandle: LAMAS1-ARIN
OrgAbuseName:   Lama, Soni
OrgAbusePhone:  +1-408-220-2200
OrgAbuseEmail:  [email protected]
OrgAbuseRef:    https://whois.arin.net/rest/poc/LAMAS1-ARIN

OrgTechHandle: LAMAS1-ARIN
OrgTechName:   Lama, Soni
OrgTechPhone:  +1-408-220-2200
OrgTechEmail:  [email protected]
OrgTechRef:    https://whois.arin.net/rest/poc/LAMAS1-ARIN

qué es Bluecoat, y sé lo que hacen . Creo que el comportamiento es muy inusual, pero quiero abstenerme de dar saltos.

Para proporcionar un poco más de contexto, esto es básicamente un servidor LAMP de Linux, sin software adicional. La VM proporcionada por VirtWire , y el sistema está virtualizado CentOS 7.2. Ejecuta un servidor SSH, y Apache, MediaWiki y MySQL. Sólo los administradores tienen acceso SSH para la administración. Lo parcheo regularmente, y generalmente se retrasa de 3 a 7 días, pero no mucho más.

Mi pregunta es, ¿por qué el servidor está intentando volver a llamar a Bluecoat (o por qué recibe conexiones de ellos)? ¿Hay algún caso de uso legítimo que pueda haber omitido?

Reducción a cero de la excepción y el bloqueo de IP:

$ sudo egrep -IR --exclude-dir="run" --exclude-dir="spool" '(com.jcraft|199.91.135)' /var
/var/log/secure:Jun 21 14:08:34 cryptopp sshd[19729]: error: Received disconnect from 199.91.135.157: 3: com.jcraft.jsch.JSchException: reject HostKey: 45.78.157.165 [preauth]
/var/log/secure:Jul  1 20:58:28 cryptopp sshd[1235]: error: Received disconnect from 1.55.196.144: 3: com.jcraft.jsch.JSchException: Auth fail [preauth]
/var/log/secure-20160620:Jun 13 13:18:01 cryptopp sshd[23246]: error: Received disconnect from 103.207.36.185: 3: com.jcraft.jsch.JSchException: Auth fail [preauth]
/var/log/secure-20160620:Jun 13 21:03:09 cryptopp sshd[28964]: error: Received disconnect from 116.99.253.189: 3: com.jcraft.jsch.JSchException: Auth fail [preauth]
/var/log/secure-20160620:Jun 13 21:04:20 cryptopp sshd[28971]: error: Received disconnect from 116.99.253.189: 3: com.jcraft.jsch.JSchException: Auth fail [preauth]
/var/log/secure-20160612:Jun  8 21:09:59 cryptopp sshd[3712]: error: Received disconnect from 46.35.253.161: 3: com.jcraft.jsch.JSchException: Auth fail [preauth]
/var/log/secure-20160626:Jun 21 14:08:34 cryptopp sshd[19729]: error: Received disconnect from 199.91.135.157: 3: com.jcraft.jsch.JSchException: reject HostKey: 45.78.157.165 [preauth]
/var/log/secure-20160626:Jun 21 14:08:34 cryptopp sshd[19729]: error: Received disconnect from 199.91.135.157: 3: com.jcraft.jsch.JSchException: reject HostKey: 45.78.157.165 [preauth]

Creo que esta es una pregunta relacionada: ¿Cuál es el propósito? Intentos extraños de inicio de sesión "sshd [ *] Recibido la desconexión de **. . . : 11: Bye Bye [preauth]" .

    
pregunta jww 02.07.2016 - 21:11
fuente

0 respuestas

Lea otras preguntas en las etiquetas