[Eisfair] [e1] komische Einträge in der messages.log -> Hack?

[Fabian Törner]

Hallo Marcus,

Am 23.10.2013 20:07, schrieb Marcus Roeckrath:
> Fabian Törner wrote:

>> Oct  1 02:59:15 eis sshd[6861]: Bad protocol version identification
>> '\026\003\001' from 54.212.162.214
>
> Hängt hinter einer Fritzbox und bekommt

ist bei mir auch - dahinter hängt als exposed host ein Lancom router.

> Apache extern Port 8080 auf intern Port 80
> SSH extern 8888 auf inter Port 22
>
> weitergeleitet.

ok, verstehe ich, bei Dir wird der Port 8888 auf 22 'gemappt'.
Bei mir ist der Port 22 nicht gemappt und auch sonst nicht irgendwie 
weitergeleitet. Von außen ist Port 22 nicht erreichbar (also normalerweise).

> Ich habe nun folgenden Eintrag gefunden:
>
> Oct 17 00:54:26 nepo-vw-server sshd[31608]: Bad protocol version
> identification'CONNECT tcpconn2.tencent.com:443 HTTP/1.1' from 183.60.48.25
>
> Hat wohl jemand die Fritz mit "gefakten" Paketen auf Port 443 (https)
> versucht, irgendwelche Webserver-Lücken zu finden/nutzen.

Das leuchtet mir ja sogar noch ein - aber wie schafft es eine externe IP 
bei mir auf den sshd?
Das kann normal nur von intern passieren !?!?!
Jetzt kann es sein, das irgend eine Lücke auf dem Server für die 
Zugriffe auf sshd genutzt werden - wenn das so ist würd eich gern wissen 
welche ;)

Vielen Dank & viele Grüße
Fabian