Tentativa de conectar pelo ssh

Pessoal, tenho um servidor e nos log tem a as seguintes linhas abaixo: as mensagens sao de tentativas de fazer fazer conexao pelo ssh sem sucesso, posso ficar despreocupado ou sera que tem algum daemon instalado nesse servidor?..alguem pode me dizer o que significa tantas tentativas pelo ssh?..todos os dias tentam entrar no servidor.


Feb 6 19:13:56 servidor sshd[11435]: Did not receive identification string from 217.29.80.92
Feb 6 19:45:02 servidor sshd[11438]: Illegal user jordan from 217.29.80.92
Feb 6 19:45:02 servidor sshd[11438]: Failed password for illegal user jordan from 217.29.80.92 port 19962 ssh2
Feb 6 19:45:05 servidor sshd[11440]: Illegal user michael from 217.29.80.92
Feb 6 19:45:05 servidor sshd[11440]: Failed password for illegal user michael from 217.29.80.92 port 1719 ssh2
Feb 6 19:45:08 servidor sshd[11442]: Illegal user nicole from 217.29.80.92
Feb 6 19:45:08 servidor sshd[11442]: Failed password for illegal user nicole from 217.29.80.92 port 2231 ssh2
Feb 6 19:45:11 servidor sshd[11444]: Illegal user daniel from 217.29.80.92
Feb 6 19:45:11 servidor sshd[11444]: Failed password for illegal user daniel from 217.29.80.92 port 2664 ssh2
Feb 6 19:45:14 servidor sshd[11446]: Illegal user andrew from 217.29.80.92
Feb 6 19:45:14 servidor sshd[11446]: Failed password for illegal user andrew from 217.29.80.92 port 3373 ssh2
Feb 6 19:45:17 servidor sshd[11448]: Illegal user nathan from 217.29.80.92
Feb 6 19:45:17 servidor sshd[11448]: Failed password for illegal user nathan from 217.29.80.92 port 3859 ssh2

/sbin/iptables -A INPUT -p ALL -s 217.29.80.92 -j DROP

Sds,

kra...

tem um topico aqui no under mesmo que o povo tava discutindo sobre isso...

isso eh um ataque brute force que esta vindo de varios lugares do mundo.., ele consiste em conectar pela porta padrao ssh do linux e tentar os mais varios usuarios e as mais variadas senhas, assim tentando em algum momento conseguir acesso.

eu jah sofri este tipo de ataques com ips da classe 66.xxx.xxx.xxx e de mtos outros tb...

oq eu fiz foi duas regras pra aceitar so conexões que estejam somento dentro do brasil, mas especifico da classe 200.xxx.xxx.xxx mas isso pode variar de acordo com sua necessidade...

se tiver interesse lhe passo as regrinhas....

[]'s

Fecha tua 22 e libera só pro teu IP ou MAC

E ai galera tudo na boa, estou tendo problemas com este tipo de ataque tb, gostaria que o Sr. black_burn por favor me explicasse qual a regra que poderia truncar ips 66.xxx.xxx.xxx, pois os ataques ao meu servidor esta vindo da Korea e da Roma. Agradeço a atenção.

cara, isso sao maquinas zombie (bots) que estao fazendo isso, mtos dos administradores dessas maquinas nem sabem que suas maquinas foram comprometidas pra esse fim, se vc n puder liberar o acesso ao ssh apenas para a rede interna, mude a porta dele, tb e' uma solucao

Obrigado pela dica, porem é o seguinte como sou iniciante em linux sei onde altero a porta do ssh, mas n tenho certeza teria como vc me explicar como eu faço isto, por favor, para alterar a porta do ssh.. Agradeço a atenção.

vai em /etc/ssh e edita o arquivo sshd_config (cuidado que tem um ssh_config, mas tem que editar o sshD_config mesmo).
Logo no início do arquivo tem:

#Port 22

Descomenta e muda pra porta que vc quiser, salva e restarta o ssh.

Acho que mudar a porta nao seria uma boa solucao!

O ideal seria negar conexoes na porta 22 aos ips que estao tentando acessar e se as coisas piorarem ( aumentar a quantidade de ips) aconselho-te a negar conexoes de todos os ips. Definindo apenas o qual vc tem costume de usar... para conexoes ssh

esqueci de anotar que mudando a porta fica facil descobrir para onde foi mudada com algum programa port scan Ex: nmap.

Já existe um topico do Dia 10 de fevereiro de 2005 sobre o mesmo assunto então este fica considerado duplicado

Topicos duplicados tornam o processo de respostas mais lento e ainda descentraliza as informações sobre um determinado assunto.

https://under-linux.org/modules.php?...wtopic&t=19906