Re: Was bedeutet diese Meldung?
Torsten Puls schrieb:
> Nov 28 20:53:38 webserver sshd[16606]: Did not receive identification
> string from 123.456.789.200
Der Client hat eine Verbindung hergestellt, die Meldung erhalten,
welche SSH-Version Du fährst, selbst aber nicht geantwortet, welche
SSH-Version er selbst verwendet und direkt wieder beendet.
Typischer Scan, ob Du SSH am laufen hast und welche Version. Panik muss
man deswegen nicht haben, wenn man eine sichere Version hat. Und nicht
jeder Scan ist ein bösartiger Scan. Das ist manchmal kaum zu beurteilen
und muss man gerade den Leuten sagen, die jedes Ping als Angriff zählen.
Ein potentieller Angreifer könnte den obigen Eintrag auch protokoll-
technisch verhindern. Wenn Du also den Loglevel höher setzt, so dass
auch die Connects protokolliert werden oder analoges über iptables
realisierst und es dann erfolglose Connects _ohne_ obige Logmeldung
gibt, dann wäre das verdächtig und seltsam.
--
rainer@ellinger.de
Reply to: