[Eisfair] [e1] Unable to negotiate a key exchange method

[Olaf Jaehrling]

Hallo Stephan,


Stephan Manske schrieb am 07.01.2017 um 18:45:
> Am 07.01.2017 um 10:35 schrieb Marcus Roeckrath:

> 
> Allerdings finde ich gerade sowas hier (aber nur sehr selten)
> 
> Jan  7 17:22:37 eis sshd[17658]: Connection closed by 110.10.176.211
> Jan  7 17:22:34 eis sshd[17641]: Connection closed by 110.10.176.211
> Jan  7 17:22:34 eis sshd[17634]: fatal: Unable to negotiate a key
> exchange method
> Jan  7 17:22:34 eis sshd[17633]: Connection closed by 110.10.176.211
> Jan  7 17:22:28 eis sshd[17235]: Connection closed by 110.10.176.211
> Jan  7 17:22:28 eis sshd[17236]: Connection closed by 110.10.176.211

Dein Server wird mit einem Programm auf Port 22 gescannt. Die IP
110.10.176.211 ist dafür bekannt. Wenn du nach dieser IP die
Suchmaschine deines Vertrauens befragst bekommst du z.B. dieser Antwort:
https://www.blocklist.de/downloads/export-ips_proftpd.txt

Auf dieser IP ist offensichtlich ein Scanner, der den Port mit einem key
scannt, so dass du nur den connection closed siehst. M.W. wird hier nach
Servern gesucht, die eine noch anfälligen sshd absucht, bei dem man sich
dann mit einem exploid einloggen kann. Ich hatte da schon vor einiger
Zeit mal nach gesucht und relativ wenig Infos gefunden. Seinerzeit kamen
nach dem "Connection closed" auch noch "Recieved Disconnect". Deshalb
ist in Version 0.8.1 von BFB damals
- Received disconnect from (malformed authentication requests) Erkennung
mit eingeflossen.

Also, wenn du auch die Received ... von dieser IP im Log hast sollte BFB
(sofern installiert) das eigentlich erkennen. Wenn nicht, habe ich
wieder eine Aufgabe gewonnen. :)

Gruß

Olaf



> 
> Ciao, Stephan
>