2009/8/28 Leandro Moreira
<leandro@leandromoreira.eti.br>
Caros,
Estava com problema de lentidao em um cliente, fui verificar e encontrei a seguinte mensagem no log:
Aug 27 12:34:21 sshd[25152]: Bad protocol version identification 'GET http://mscrl.microsoft.com/pki/mscorp/crl/mswww(4).crl HTTP/1.1' from UNKNOWN
Aug 27 12:34:37 sshd[25153]: Bad protocol version identification 'POST http://safebrowsing.clients.google.com/safebrowsing/downloads?client=googlechrome&appver=2.0.17' from UNKNOWN
Pesqueisei no google, e vi que essa mensagem caracteriza ataque ao serviço do ssh, essa informaçao começou a ficar mais evidente quando, bloqueie o acesso externo ao ssh e a lentidao desapareceu.
To fazendo uma verificao pois apareceram ip's de fora da rede (externos), como se tivessem acessando internet pelo meu proxy, meu proxy tem apenas a porta do ssh (que nao a default) redirecionada pra fora, apenas para realizar manutençao.
Alguem ja teve esse tipo de problema, ou ja viu esse tipo de ataque.
Att.
--
Leandro Moreira
Linux Administrator: LPIC-1
e-mail/msn: leandro@leandromoreira.eti.br
Tel.: + 55(32) 9906-5713