auth.log indica un errore con JSchException?

14

Ho un server di installazione abbastanza minimale e non consente l'autenticazione con password, usando solo le chiavi. E sicuramente non ha Java installato. Normalmente non prestare attenzione alle migliaia di tentativi al giorno di script kiddies di indovinare la mia password - immagino il tempo che sprecano sul mio sistema è il tempo che non stanno sprecando su sistemi che non consentono l'autenticazione della password. Ma sto vedendo questo messaggio in /var/log/auth.log:

Dec 7 13:43:43 hostname sshd[7412]: Received disconnect from 189.203.240.57: 3: com.jcraft.jsch.JSchException: Auth fail [preauth]

Quella menzione di quella che sembra un'eccezione Java proviene dall'attaccante o proviene da qualcosa dalla mia parte?

ssh  authentication 
Paul Tomblin
fonte
1
Sono stato anche sorpreso di trovare un nome di classe Java nel mio registro sshd, su un'istanza di Ubuntu 14.04 su EC2. È simile al tuo ambiente?
Alex Nauda,
@AlexNauda Mine è un VPS Linode.
Paul Tomblin,

Risposte:

20

Sembra che il server openssh passi attraverso l'ultimo messaggio dal client nel suo messaggio di errore "Scollegamento ricevuto", quindi sembra che si tratti di un tentativo di accesso zombie da una botnet creata in Java.

Vedi questo esempio di codice da openssh packet.c:

            case SSH2_MSG_DISCONNECT:
                if ((r = sshpkt_get_u32(ssh, &reason)) != 0 ||
                    (r = sshpkt_get_string(ssh, &msg, NULL)) != 0)
                    return r;
                /* Ignore normal client exit notifications */
                do_log2(ssh->state->server_side &&
                    reason == SSH2_DISCONNECT_BY_APPLICATION ?
                    SYSLOG_LEVEL_INFO : SYSLOG_LEVEL_ERROR,
                    "Received disconnect from %s: %u: %.400s",
                    ssh_remote_ipaddr(ssh), reason, msg);
                free(msg);
                return SSH_ERR_DISCONNECTED;
Alex Nauda
fonte
"Il server passa attraverso una stringa client" - è una cosa "sicura" da fare? O potrebbe essere un problema dal punto di vista della sicurezza ?
ckujau,
Se ritieni che il codice in packet.c sia vulnerabile a una sorta di exploit, potresti considerare di segnalarlo ai manutentori di openssh. In generale, tuttavia, non penso che il passaggio di una stringa ai registri in questo modo presenti un problema di sicurezza.
Alex Nauda,
L'ho considerato, ma prima volevo chiedere qui, forse era ovvio dal frammento di codice che è davvero "sicuro". Ma sì, l'ho chiesto su openssh-unix-dev e il manutentore di OpenSSH pensa che non sia un problema.
ckujau,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.