auth.log wskazuje błąd z JSchException?

14

Mam dość minimalny serwer konfiguracji i nie pozwala on na uwierzytelnianie hasłem, tylko przy użyciu kluczy. I na pewno nie ma zainstalowanej Java. Zwykle nie zwracam uwagi na tysiące prób odgadnięcia haseł przez moje dzieci - myślę, że czas, który tracą w moim systemie, to czas, w którym nie marnują się na systemy, które umożliwiają uwierzytelnianie hasła. Ale widzę ten komunikat w /var/log/auth.log:

Dec 7 13:43:43 hostname sshd[7412]: Received disconnect from 189.203.240.57: 3: com.jcraft.jsch.JSchException: Auth fail [preauth]

Czy to wzmianka o czymś, co wygląda na wyjątek Javy pochodzący od atakującego, czy jest to coś po mojej stronie?

Paul Tomblin
źródło
1
Zaskoczyło mnie również znalezienie nazwy klasy Java w moim dzienniku sshd w instancji Ubuntu 14.04 na EC2. Czy to jest podobne do twojego środowiska?
Alex Nauda
@AlexNauda Mine to Linode VPS.
Paul Tomblin

Odpowiedzi:

20

Wygląda na to, że serwer openssh przechodzi przez ostatnią wiadomość od klienta w komunikacie o błędzie „Odebrano rozłączenie”, więc wygląda na to, że jest to próba logowania zombie z botnetu utworzonego w Javie.

Zobacz przykładowy kod z openssh packet.c:

            case SSH2_MSG_DISCONNECT:
                if ((r = sshpkt_get_u32(ssh, &reason)) != 0 ||
                    (r = sshpkt_get_string(ssh, &msg, NULL)) != 0)
                    return r;
                /* Ignore normal client exit notifications */
                do_log2(ssh->state->server_side &&
                    reason == SSH2_DISCONNECT_BY_APPLICATION ?
                    SYSLOG_LEVEL_INFO : SYSLOG_LEVEL_ERROR,
                    "Received disconnect from %s: %u: %.400s",
                    ssh_remote_ipaddr(ssh), reason, msg);
                free(msg);
                return SSH_ERR_DISCONNECTED;
Alex Nauda
źródło
„Serwer przechodzi przez ciąg klienta” - czy jest to „bezpieczne” działanie? Czy może to być problem z punktu widzenia bezpieczeństwa ?
ckujau
Jeśli uważasz, że kod w packet.c jest podatny na jakiś exploit, możesz rozważyć zgłoszenie tego do opiekunów openssh. Ogólnie jednak nie sądzę, aby przekazywanie ciągu do dzienników w ten sposób stanowiło problem z bezpieczeństwem.
Alex Nauda
Zastanawiałem się nad tym, ale najpierw chciałem tutaj zapytać, może z fragmentu kodu było oczywiste, że rzeczywiście jest „bezpieczny”. Ale tak, zapytałem o to na openssh-unix-dev, a opiekun OpenSSH uważa, że ​​to nie problem.
ckujau