[Eisfair] BruteForceBlocking: banner exchange Fehler

[Marcus Röckrath]

Hallo Olaf,

Olaf Jaehrling wrote:

>> Vermute es hängt mit solchen Zeilen zusammen:
>> 
>> Apr 13 00:35:54 nepo-vw-server sshd[14736]: error:
>> kex_exchange_identification: client sent invalid protocol identifier "GET
>> / HTTP/1.1"<br>
> 
> Jupp, das ist dann vermutlich noch ein Fehler. Damit hätte ich nicht
> gerechnet. Wer rechnet denn auch damit, dass jemand http via ssh
> ausführen will. :)

Der ssh läuft nicht auf Port 22; der Attacker grast wohl einfach ganze
Portbereiche ab um Webserver zu finden; bei mir erwischt er halt dann den
ssh.

> Kannst du mir mal das Logfile zukommen lassen, wo diese Einträge drin
> stehen?

Es müssten solche Zeilen sein:

Apr  1 10:48:45 nepo-vw-server sshd[18705]: error:
kex_exchange_identification: client sent invalid protocol identifier "GET
http://i.pixita.com/robots.txt HTTP/1.1"<br>

Apr 13 00:01:17 nepo-vw-server sshd[28676]: error:
kex_exchange_identification: client sent invalid protocol identifier "GET
http://clientapi.ipip.net/echo.php?info=20220412220117 HTTP/1.1"

Apr 13 00:35:54 nepo-vw-server sshd[14736]: error:
kex_exchange_identification: client sent invalid protocol identifier "GET /
HTTP/1.1"

Apr 13 10:06:35 nepo-vw-server sshd[11167]: error:
kex_exchange_identification: client sent invalid protocol identifier
"CONNECT google.com:443 HTTP/1.1"

Apr 24 10:51:50 nepo-vw-server sshd[15643]: error:
kex_exchange_identification: client sent invalid 
protocol identifier "GET / HTTP/1.1"

wovon es im April ca. 90 gibt.

brute_force-blocking blocked dann:

Apr 24 10:52:01 nepo-vw-server BFB[17158]: address 1.1 blocked after 511
attempt to abuse SLOW_SSH_ATTACK

Hier stehen dann 511 Versuche, was vermutlich dran liegt, dass
brute_foce_blocking nun mittels der IP 1.1 auch viele weitere Zeilen aus
dem Log fischt, z. B.

Apr  1 08:12:27 nepo-vw-server imapd[7706]: imap service init from
192.168.100.101

-- 
Gruß Marcus
[eisfair-Team]