¿Dónde está el archivo de registro sshd y cómo explicar la información de registro?

0

Para ingresar journalctl después de iniciar sesión en mi vps.

journalctl _COMM=sshd -f  

Feb 16 06:34:40 localhost sshd[324]: Bad protocol version identification 'GET / HTTP/1.0' from 23.252.100.22 port 38876
Feb 16 06:34:40 localhost sshd[325]: Did not receive identification string from 23.252.100.22
Feb 16 07:34:40 localhost sshd[326]: Bad protocol version identification 'GET / HTTP/1.0' from 23.252.100.22 port 40602
Feb 16 07:34:40 localhost sshd[327]: Did not receive identification string from 23.252.100.22
Feb 16 08:34:40 localhost sshd[328]: Bad protocol version identification 'GET / HTTP/1.0' from 23.252.100.22 port 38298
Feb 16 08:34:40 localhost sshd[329]: Did not receive identification string from 23.252.100.22
Feb 16 09:34:41 localhost sshd[348]: Bad protocol version identification 'GET / HTTP/1.0' from 23.252.100.22 port 42132
Feb 16 09:34:41 localhost sshd[349]: Did not receive identification string from 23.252.100.22
Feb 16 10:34:39 localhost sshd[350]: Bad protocol version identification 'GET / HTTP/1.0' from 23.252.100.22 port 60988
Feb 16 10:34:39 localhost sshd[351]: Did not receive identification string from 23.252.100.22
Feb 16 11:34:40 localhost sshd[352]: Bad protocol version identification 'GET / HTTP/1.0' from 23.252.100.22 port 33850
Feb 16 11:34:40 localhost sshd[353]: Did not receive identification string from 23.252.100.22
Feb 16 12:34:39 localhost sshd[354]: Bad protocol version identification 'GET / HTTP/1.0' from 23.252.100.22 port 44998
Feb 16 12:34:39 localhost sshd[355]: Did not receive identification string from 23.252.100.22
Feb 16 13:34:38 localhost sshd[356]: Bad protocol version identification 'GET / HTTP/1.0' from 23.252.100.22 port 52632
Feb 16 13:34:38 localhost sshd[357]: Did not receive identification string from 23.252.100.22
Feb 16 14:34:41 localhost sshd[358]: Bad protocol version identification 'GET / HTTP/1.0' from 23.252.100.22 port 43864
Feb 16 14:34:41 localhost sshd[359]: Did not receive identification string from 23.252.100.22
Feb 16 15:34:40 localhost sshd[360]: Bad protocol version identification 'GET / HTTP/1.0' from 23.252.100.22 port 53402
Feb 16 15:34:40 localhost sshd[361]: Did not receive identification string from 23.252.100.22

¿Significa el registro que 23.252.100.22 (no mi ip y no mi vps ip) intentan descifrar mi clave de vps?

¿Dónde está el archivo que contiene dicha información de registro?

    
pregunta it_is_a_literature 25.02.2017 - 03:56
fuente

2 respuestas

1

El cliente en 23.252.100.22 que está intentando conectarse a su demonio SSH cree que está hablando con un servidor HTTP.

El cliente envía una solicitud HTTP GET mientras que el servidor SSH realmente espera recibir un identificador de versión, por lo que su daemon confunde la consulta HTTP con una cadena de versión SSH y lo registra como un error. Es muy poco probable que esto esté relacionado con una vulnerabilidad en particular en lugar de una simple falta de coincidencia de protocolo.

    
respondido por el Arminius 25.02.2017 - 15:04
fuente
2
  

Identificación de versión de protocolo incorrecta 'GET / HTTP / 1.0' desde 23.252.100.22 puerto 38876

Parece que un bot está enviando mensajes mal formados a sshd. No solo no es una cadena de versión, sino que es una línea de una solicitud http, lo que no tiene ningún sentido en el contexto de ssh.

Podría estar intentando provocar una vulnerabilidad de la que no sé, pero creo que probablemente esté mal programada.

De cualquier manera, la respuesta es la misma: haga su endurecimiento estándar de sshd. Desactive la autenticación de contraseña, deshabilite el inicio de sesión de root, instale y configure fail2ban.

    
respondido por el Xiong Chiamiov 25.02.2017 - 04:09
fuente

Lea otras preguntas en las etiquetas