LINUX.ORG.RU
ФорумAdmin

Possible attack on the ssh server

 ,


1

1

Приветствую, уважаемое комюнити!

Прошу помочь интерпретировать сообщение из лога auth.log:


Jul 27 09:16:30 aws-ftp sshd[13186]: Bad protocol version identification 'telnet mail.softlution.com 2222' from 194.120.221.212 port 63085


на просторах интернетов нашел похожее
https://scottlinux.com/2012/03/07/troubleshooting-ssh-server-logs-and-error-m...

Example 6

Но меня смущает слово telnet у меня в логе.

Что это может быть?
За ранее спасибо!


Ответ на: комментарий от amorpher

телнет на левый сервер...кто-то from 194.120.221.212 port 63085 ломился на левый telnet mail.softlution.com 2222 сервер, а у меня в логе эта запись

kbu
() автор топика
Ответ на: комментарий от kbu

причем подлючение по ссш разрешено только по ключам и с определенного ипишника, т.е. урезано до немогу

kbu
() автор топика
Ответ на: комментарий от amorpher

еще раз:

194.120.221.212 port 63085 - не мой ип
telnet mail.softlution.com 2222 - не мой домен

запись в логе на моем сервере - отсюда и беспокойство

kbu
() автор топика
Ответ на: комментарий от kbu

ещё раз перечитай сначала, ломятся к тебе по телнету, на твой сервер, всё, забей

amorpher ★★★★★
()

Тебе же на чистом английском сказано, bad protocol version identification. И собственно что именно указано вместо protocol version при попытке подключения.

Зачем это и почему, это уже другой вопрос.

Что бы не получать левых логов вообще, настрой фильтр на уровне iptables. А то так и будешь читать страшные непонятные логи от маразматичных китайских ботов.

А лучше вообще закрой порт port-knock-ером, ибо нех.

anonymous
()
Ответ на: комментарий от anonymous

Что сказано мне на английском я понял без проблем. Главный вопрос почему на моем сервере попытки достучаться на левый сервер с левого ип.

kbu
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.