auth.log zeigt Fehler mit JSchException an?

14

Ich habe einen ziemlich minimalen Setup-Server und er erlaubt keine Kennwortauthentifizierung, nur unter Verwendung von Schlüsseln. Und Java ist definitiv nicht installiert. Normalerweise achte ich nicht auf die tausenden Versuche von Skriptkindern, meine Passwörter zu erraten - ich denke, dass die Zeit, die sie auf meinem System verschwenden, die Zeit ist, die sie nicht auf Systemen verschwenden, die die Passwortauthentifizierung ermöglichen. Aber ich sehe diese Nachricht in /var/log/auth.log:

Dec 7 13:43:43 hostname sshd[7412]: Received disconnect from 189.203.240.57: 3: com.jcraft.jsch.JSchException: Auth fail [preauth]

Erwähnt das, was wie eine Java-Ausnahme aussieht, die vom Angreifer kommt, oder ist das von etwas auf meiner Seite?

ssh  authentication 
Paul Tomblin
quelle
1
Ich war auch überrascht, einen Java-Klassennamen in meinem sshd-Protokoll auf einer Ubuntu 14.04-Instanz auf EC2 zu finden. Ist das ähnlich wie in Ihrer Umgebung?
Alex Nauda
@AlexNauda Mine ist ein Linode VPS.
Paul Tomblin

Antworten:

20

Es sieht so aus, als würde der openssh-Server die letzte Nachricht des Clients in seiner Fehlermeldung "Received disconnect" durchlaufen. Es handelt sich also anscheinend um einen Zombie-Anmeldeversuch eines in Java erstellten Botnetzes.

Sehen Sie sich dieses Codebeispiel von openssh an packet.c:

            case SSH2_MSG_DISCONNECT:
                if ((r = sshpkt_get_u32(ssh, &reason)) != 0 ||
                    (r = sshpkt_get_string(ssh, &msg, NULL)) != 0)
                    return r;
                /* Ignore normal client exit notifications */
                do_log2(ssh->state->server_side &&
                    reason == SSH2_DISCONNECT_BY_APPLICATION ?
                    SYSLOG_LEVEL_INFO : SYSLOG_LEVEL_ERROR,
                    "Received disconnect from %s: %u: %.400s",
                    ssh_remote_ipaddr(ssh), reason, msg);
                free(msg);
                return SSH_ERR_DISCONNECTED;
Alex Nauda
quelle
"Der Server durchläuft eine Client-Zeichenfolge" - ist dies eine "sichere" Sache? Oder könnte dies ein sicherheitstechnisches Problem sein ?
ckujau
Wenn Sie der Meinung sind, dass der Code in packet.c für eine Art Exploit anfällig ist, sollten Sie dies den Betreuern von openssh melden. Im Allgemeinen glaube ich jedoch nicht, dass die Weitergabe einer Zeichenfolge an die Protokolle auf diese Weise ein Sicherheitsproblem darstellt.
Alex Nauda
Ich dachte darüber nach, aber ich wollte zuerst hier fragen, vielleicht war es aus dem Code-Snippet offensichtlich, dass es in der Tat "sicher" ist. Aber ja, ich habe auf openssh-unix-dev danach gefragt und der OpenSSH-Betreuer denkt, dass es kein Problem ist.
ckujau
Durch die Nutzung unserer Website bestätigen Sie, dass Sie unsere Cookie-Richtlinie und Datenschutzrichtlinie gelesen und verstanden haben.
Licensed under cc by-sa 3.0 with attribution required.