auth.log указывает на ошибку с JSchException?

14

У меня достаточно минимальный установочный сервер, и он не позволяет аутентификацию по паролю, только с использованием ключей. И это определенно не имеет установленной Java. Обычно я не обращаю внимания на тысячи попыток в день сценария детишек угадать мои пароли - Я полагаю , что время они тратят на моей систему время они не тратить на системах , которые действительно позволяют пароль. Но я вижу это сообщение в /var/log/auth.log:

Dec 7 13:43:43 hostname sshd[7412]: Received disconnect from 189.203.240.57: 3: com.jcraft.jsch.JSchException: Auth fail [preauth]

Это упоминание о том, что похоже на исключение Java от злоумышленника, или это от меня?

Пол Томблин
источник
1
Я также был удивлен, обнаружив имя класса Java в моем журнале sshd в экземпляре Ubuntu 14.04 на EC2. Это похоже на вашу среду?
Алекс Науда
@AlexNauda Mine - это линодный VPS.
Пол Томблин

Ответы:

20

Похоже, что сервер openssh пропускает последнее сообщение от клиента в своем сообщении об ошибке «Получено отключение», поэтому кажется, что это попытка входа в систему зомби из ботнета, созданного в Java.

Посмотрите этот пример кода из openssh packet.c:

            case SSH2_MSG_DISCONNECT:
                if ((r = sshpkt_get_u32(ssh, &reason)) != 0 ||
                    (r = sshpkt_get_string(ssh, &msg, NULL)) != 0)
                    return r;
                /* Ignore normal client exit notifications */
                do_log2(ssh->state->server_side &&
                    reason == SSH2_DISCONNECT_BY_APPLICATION ?
                    SYSLOG_LEVEL_INFO : SYSLOG_LEVEL_ERROR,
                    "Received disconnect from %s: %u: %.400s",
                    ssh_remote_ipaddr(ssh), reason, msg);
                free(msg);
                return SSH_ERR_DISCONNECTED;
Алекс Науда
источник
«Сервер проходит через строку клиента» - это безопасная вещь? Или это может быть проблемой с точки зрения безопасности ?
ckujau
Если вы считаете, что код в package.c уязвим для какого-либо эксплойта, вы можете сообщить об этом сопровождающим openssh. Однако в целом я не думаю, что передача строки в журналы таким образом представляет проблему безопасности.
Алекс Науда
Я подумал об этом, но сначала я хотел спросить здесь, может быть, из фрагмента кода было очевидно, что это действительно «безопасно». Но да, я спрашивал об этом на openssh-unix-dev, и сопровождающий OpenSSH считает, что это не проблема.
ckujau