Я запускаю ossec на своем сервере и периодически получаю такое предупреждение:
Received From: myserver->/var/log/auth.log
Rule: 5701 fired (level 8) -> "Possible attack on the ssh server (or version gathering)."
Portion of the log(s):
Nov 19 14:26:33 myserver sshd[2105]: Bad protocol version identification 'GET /robots.txt HTTP/1.1' from 66.249.73.226
IP-адрес всегда соответствует поисковому роботу Google. Но зачем роботу Googlebot индексировать мой SSH-сервер? Мы запускаем SSH на стандартном, хорошо известном порту (22), поэтому похоже, что Google лучше знает, чем искать там веб-сервер. И мы определенно не опубликовали никаких ссылок, которые заставили бы его поверить в обратное.
Вы искали в Google <Your IP>:22? Я уверен, что вы его нигде не публиковали, как вы говорите, но любой старый идиот может разместить ссылку в любом месте, которое может заметить робот Google. У вас уже давно была эта блокировка IP?
Кажется гораздо менее вероятным, хотя и не невозможным, что Google начинает что-то делать с «темной сетью», о которой они говорили раньше (поиск обычно не защищенных брандмауэром портов для скрытых веб-серверов).
Нет полезного ответа вопрос на форуме Google пару лет назад, когда кто-то видел это на своем почтовом сервере: