-
Ssh Error
Bom dia/tarde/noite,
Estou enfrentando um problema com o SSH. Quando uma máquina da minha rede requisita um IP do DHCP (estou usando IP FIXO) , o sshd gera o log abaixo.
A única linha descomentada do meu sshd.config é a seguinte: Subsystem sftp /usr/libexec/sftp-server.
Não é um ataque visto que o log é gerado quando máquinas da própria rede são ligadas.
Assim, peço a ajuda dos colegas experts.
Mar 7 10:53:10 dark dhcpd: DHCPREQUEST for 192.168.0.100 from
00:00:6d:d6:0a:23 (PC1) via eth1
Mar 7 10:53:10 dark dhcpd: DHCPACK on 192.168.0.100 to 00:00:6d:d6:0a:23
(PC1) via eth1
Mar 7 10:53:35 dark sshd[9634]: Did not receive identification string from
192.168.0.100
Mar 7 10:54:05 dark sshd[9636]: Did not receive identification string from
192.168.0.100
Mar 7 10:54:35 dark sshd[9638]: Did not receive identification string from
192.168.0.100
Mar 7 10:55:05 dark sshd[9640]: Did not receive identification string from
192.168.0.100
Mar 7 10:55:35 dark sshd[9642]: Did not receive identification string from
192.168.0.100
Mar 7 10:56:05 dark sshd[9644]: Did not receive identification string from
192.168.0.100
Mar 7 10:56:35 dark sshd[9646]: Did not receive identification string from
192.168.0.100
Mar 7 10:57:05 dark sshd[9648]: Did not receive identification string from
192.168.0.100
Mar 7 10:57:35 dark sshd[9650]: Did not receive identification string from
192.168.0.100
Mar 7 10:58:05 dark sshd[9652]: Did not receive identification string from
192.168.0.100
-----------------------
The fatest way to end a war is to lose it - Jorg Orwel
-
isso tá parecendo um portscan
-
Amigo, notou a periodicidade das mensagens no log ? exatamente de 30 em 30 segundos. A mensagem que voce recebeu do sshd nao quer dizer muita coisa, pode ser uma conexao nao finalizada, uma conexao syn apenas (bastante usada em portscan), etc.. tente dar um telnet na porta que o seu servidor ssh está ouvindo que voce verá. (i.e: telnet 0 22) . A mensagem gerada será a mesma.
Por ser uma máquina local, vale a pena conferir os processos sendo executados nessa maquina, alguma aplicacao cliente que esteja tentando algum tipo de conexao na porta do ssh. Se fosse remoto, era soh bloquear a nivel de firewall.
Abraco,
Fabio K. Lima
LPIC
-
Vou observar mais atentamente esses logs e os processos das máquinas clientes.
Obrigado a todos pelas respostas.
-
isso acontece quando uma máquina específica entra na rede ou com mais máquinas também?