이전에 sshd 로그에서 이것을 본 적이 없습니다.
Mar 16 17:21:48 x-server sshd[9848]: Bad protocol version identification '\026\003\001' from 45.143.221.50 port 35026
Mar 16 17:21:48 x-server sshd[9849]: Bad protocol version identification '\026\003\001' from 45.143.221.50 port 35254
Mar 16 17:21:48 x-server sshd[9850]: Bad protocol version identification 'GET / HTTP/1.1' from 45.143.221.50 port 35384
Mar 16 17:21:48 x-server sshd[9851]: Bad protocol version identification 'GET /vtigercrm/vtigerservice.php HTTP/1.1' from 45.143.221.50 port 35608
Mar 16 17:21:48 x-server sshd[9852]: Bad protocol version identification '\026\003\001' from 45.143.221.50 port 35810
Mar 16 17:21:48 x-server sshd[9853]: Bad protocol version identification 'GET /a2billing/admin/Public/index.php HTTP/1.1' from 45.143.221.50 port 36000
Mar 16 20:57:24 x-server sshd[10424]: Bad protocol version identification 'GET / HTTP/1.1' from 18.206.190.72 port 43800
이 공격은 컴퓨터에 실행 중인 웹 서버가 없고 PHP가 설치되어 있지 않은 동안 SSH 연결을 통해 http 요청을 보내 시작되는 것으로 보입니다. 이 sshd는 NAT 뒤에 있고 인터넷에 직접 연결되어 있지 않기 때문에 이 경우 포트가 sshd에 어떻게 매핑되는지는 나에게도 미스터리입니다.
이 공격을 어떻게 완화할 수 있습니까?
답변1
NAT를 어떻게 통과하는지 모르겠습니다. 하지만 나머지는 대답하겠습니다.
포트는 프로토콜이 아닙니다. ssh는 일반적으로 포트 22에 있지만 http는 포트 80에 있습니다. 이는 우리가 쉽게 찾을 수 있도록 하기 위한 것입니다. 이러한 프로토콜과 포트에 대해 수정된 사항은 없습니다.
현재 일어나고 있는 것으로 보이는 것은 웹 브라우저(또는 웹 스파이더)가 포트 22에 연결을 시도한다는 것입니다(아마도 모든 포트를 시도하고 있을 것입니다). 귀하의 SSH 서버는 완벽하게 안전합니다. 이는 클라이언트가 올바르게 인증되지 않은 예입니다. 로그가 드라이브를 채우지 않도록 로그가 회전되는지 확인하십시오.
SSH 연결이 없습니다. SSH 연결이 아직 설정되지 않았으며 연결은 여전히 TCP/IP 수준에 있습니다.
리모컨의 요청은 컴퓨터에 설치된 소프트웨어와 별개입니다. 예를 들어, 누군가가 웹 사이트에 연결할 때 먼저 서버에 어떤 소프트웨어가 설치되어 있는지 확인하지 않습니다.