может будь так любезен, объясни мне. На моем Linux-сервере в журнале auth.log я нашел следующую строку:
Jul 27 09:16:30 aws-ftp sshd[13186]: Bad protocol version identification 'telnet mail.softlution.com 2222' from 194.120.221.212 port 63085
Google дал мне эту ссылку:
https://scottlinux.com/2012/03/07/troubleshooting-ssh-server-logs-and-error-messages/
пример 6, но в этом сообщении домен telnet mail.softlution.com не является моим доменом и IP 194.120.221.212 - не мой ip.
Что это может быть? Thx in advance!
Это немецкий IP-адрес. Честно говоря, очень можно увидеть сканеры в Интернете, сканирующие открытые порты и потенциальные уязвимости. Если вас беспокоит, вы можете использовать брандмауэр на основе хоста, разрешить только ключи SSH, использовать fail2ban и т. Д., Чтобы минимизировать риск.
Просто предположите, что они пытаются сделать ...
Учитывая, что порт, к которому плохой субъект пытается подключиться, - это 2222, и он удобно выглядит как порт SSH (22), похоже, они пытаются увидеть, могут ли они выполнить команду на вашем компьютере, чтобы установить соединение дома. .
Это тоже не IP Amazon, так что это, скорее всего, просто какой-то бот.
Вы можете установить fail2ban на своем сервере и настроить его так, чтобы он анализировал журналы ssh. Прямо в файле конфигурации есть отличные примеры, поэтому вам просто нужно изменить некоторые строки в соответствии с вашим случаем.
Если вы действительно хотите защитить свой сервер, вы можете установить на нем почтовый сервер, который будет уведомлять вас каждый раз, если кто-то пытается войти в систему.Вы также можете установить порт SSH по умолчанию для порта высокого уровня со случайными числами, Fail2Ban, двухфакторной аутентификацией, SSH-ключом с фазой и, возможно, если у вас есть частный сервер VPN или статический IP-адрес, белый список для входа в систему.
Существует обходной путь для получения уведомлений с помощью Slack Comunicationtool. Если вы хотите получить помощь, это несколько обходных путей здесь, в сети StackExchange и в Google