O que significa “Desligamento normal, obrigado por jogar [preauth]” Nos registros SSH significa?

Navegue suas respostas
32

Recentemente, meus sumários de log SSHH para meus servidores Ubuntu 12.04 no Logwatch começaram a mostrar entradas para "11: desligamento normal, obrigado por jogar [preauth]" junto com o "11: Bye Bye [preauth]" e "11 : desconectado pelo usuário "mensagens que eles estavam mostrando anteriormente.

Eu não vi essa mensagem em meus logs antes das últimas semanas, nem a vi em meus servidores mais antigos que estão presos no Ubuntu 10.04. Eu pesquisei esta mensagem e também não consigo encontrar explicações claras.

Os IPs tentando acessar e receber esta mensagem são tentativas aleatórias de hack, e a julgar pela preauth eu assumo (espero) que eles não são bem sucedidos, mas eu gostaria de saber exatamente o que esta mensagem significa e como ela difere de outras para tenha certeza.

EDIT para obter informações adicionais: Meus servidores possuem autenticação de senha e autenticação raiz desativada

    
por Dave Stern 04.12.2013 / 17:03

3 respostas

30

Quando o cliente ssh faz um desligamento de conexão "normal", ele envia um pacote com uma mensagem nele. Quando o daemon ssh obtém tal pacote quando não está esperando - neste caso, antes que o usuário tenha conseguido autenticar - ele registra a mensagem. (Versões mais antigas do OpenSSH não fizeram isso.) Então, sua suposição é exatamente correta: é um efeito colateral de um ataque de adivinhação de senha ssh de força bruta. Você provavelmente deveria estar executando algo como o fail2ban ou o sshguard para bloqueá-los no iptables; mesmo que você ache que tudo está configurado corretamente para não permitir senhas, é bom ter uma segunda camada de defesa.

    
por 24.12.2013 / 06:26
10

A resposta aceita está correta, mas pensei em postar essa resposta para complementá-la com um motivo para a mudança, explicando por que os administradores não viram essas mensagens em seus arquivos de log.

Esta questão foi discutida na lista de desenvolvedores do OpenSSH em janeiro de 2014. De acordo com Damien Miller, desenvolvedor do OpenSSH ,

The message has been there basically forever:

1.41 (markus 02-Jan-01): log("Received disconnect from %s: %d: %.400s", ...

The only thing to have changed semi-recently is that we improved logging of preauthentication messages in privsep mode in the 5.9 release to no longer need a /dev/log inside the privsep chroot. If your old OpenSSH version was <5.9 and the /var/empty chroot didn't have a /dev/log in it then you may have been missing these messages.

    
por 03.05.2015 / 01:29
2

Eu também notei essas mensagens em meus arquivos de log desde que atualizei recentemente o pacote open-ssh em meus servidores.

No entanto, não acho que as mensagens necessariamente impliquem tentativas de invasão. Algumas das frases são codificadas em clientes ssh legítimos, presumivelmente como remanescentes do código de desenvolvimento original. Meu iOS ssh-client (iSSH), por exemplo, emite essa frase quando eu me desconecto dos meus próprios servidores.

    
por 10.04.2014 / 17:38
Existe um equivalente de SU para Windows? Uso da CPU no Linux e histórico de execução do processo