我以前从未在 sshd 日志中看到过这一点:
Mar 16 17:21:48 x-server sshd[9848]: Bad protocol version identification '\026\003\001' from 45.143.221.50 port 35026
Mar 16 17:21:48 x-server sshd[9849]: Bad protocol version identification '\026\003\001' from 45.143.221.50 port 35254
Mar 16 17:21:48 x-server sshd[9850]: Bad protocol version identification 'GET / HTTP/1.1' from 45.143.221.50 port 35384
Mar 16 17:21:48 x-server sshd[9851]: Bad protocol version identification 'GET /vtigercrm/vtigerservice.php HTTP/1.1' from 45.143.221.50 port 35608
Mar 16 17:21:48 x-server sshd[9852]: Bad protocol version identification '\026\003\001' from 45.143.221.50 port 35810
Mar 16 17:21:48 x-server sshd[9853]: Bad protocol version identification 'GET /a2billing/admin/Public/index.php HTTP/1.1' from 45.143.221.50 port 36000
Mar 16 20:57:24 x-server sshd[10424]: Bad protocol version identification 'GET / HTTP/1.1' from 18.206.190.72 port 43800
此攻击似乎是通过 SSH 连接启动发送 http 请求,而该计算机上没有运行 Web 服务器并且没有安装 PHP。在这些情况下,端口如何映射到 sshd 对我来说也是一个谜,因为此 sshd 位于 NAT 之后并且不直接连接到互联网。
我怎样才能减轻这种攻击?
答案1
我不知道它是如何通过 NAT 的。但剩下的我会回答。
端口不是协议:而 ssh 通常在端口 22 上,而 http 在端口 80 上。这只是为了我们可以轻松找到它们。这些协议和端口没有任何固定的内容。
似乎发生的事情是网络浏览器(或网络蜘蛛)尝试连接到端口 22(也许它正在尝试所有端口)。你的 ssh 服务器是完全安全的。这是客户端未正确进行身份验证的示例。只需确保您的日志已轮换,这样它们就不会填满您的驱动器。
没有 ssh 连接。 ssh 连接尚未建立,连接仍处于 TCP/IP 级别。
来自远程的请求与您计算机上安装的软件无关。例如,当有人连接到网站时,他们不会首先检查服务器上安装了哪些软件。