Cadena de identificación de versión de protocolo incorrecta de SSH: ¿qué es?

Esta es una representación octal (base 8). Durante los pasos iniciales de una conexión SSH, el cliente y el servidor se envían mutuamente las versiones del protocolo que implementan, como cadenas. Estas cadenas deben seguir un formato específico.

Aquí, su servidor recibió del cliente una cadena de "versión de protocolo" que consta de cinco bytes, de valor 128, 226, 1, 3 y 1, en ese orden. Esto no es una "cadena de versión de protocolo" lo que tiene sentido. Probablemente, el cliente no estaba tratando de hacer algo de SSH en absoluto, sino de algún otro protocolo.

Muchos virus intentan propagarse automáticamente de esa manera: probando vulnerabilidades conocidas de algunos protocolos en puertos y direcciones IP aleatorias. Por lo tanto, cualquier servidor accesible públicamente (como su servidor SSH) obtendrá ese tipo de ruido. Lo mejor que puedes hacer es ignorarlo por completo.

Agregando un poco a Su Majestad Ursinity, podría ser y apostaría que es (era) un ClientHello con formato SSL2 que ofrece actualización a TLS1.0. En 2013, antes de que POODLE y luego DROWN motivaran a la gente a eliminar las interfaces desactualizadas de SSL3 e incluso de SSL2, era bastante común que los clientes de TLS usaran el formato SSL2 porque habían sido configurados o codificados de esa manera años antes, tal vez alrededor del 2005, cuando En realidad, todavía existía un número significativo de servidores SSL2, y, a la inversa, los servidores TLS permanecían configurados o codificados para aceptar el formato SSL2 (incluso si no era el protocolo ) del SSL2) para manejar a esos clientes sin errores confusos y / o adicionales viajes de ida y vuelta. Un servidor SSH, por supuesto, no entiende el formato SSL2 o SSL3 / TLS.