auth.log indica erro com JSchException?

Navegue suas respostas
14

Eu tenho um servidor de configuração mínimo e ele não permite autenticação por senha, usando apenas chaves. E definitivamente não tem Java instalado. Normalmente eu não presto atenção nas milhares de tentativas de um dia de script kiddies para adivinhar minhas senhas - eu imagino que o tempo que eles desperdiçam no meu sistema é o tempo que eles não estão desperdiçando em sistemas que fazem permitir a autenticação de senha. Mas estou vendo esta mensagem em /var/log/auth.log:

Dec 7 13:43:43 hostname sshd[7412]: Received disconnect from 189.203.240.57: 3: com.jcraft.jsch.JSchException: Auth fail [preauth]

É essa menção do que parece ser uma exceção Java vinda do atacante, ou é de algo do meu lado?

    
por Paul Tomblin 09.12.2014 / 16:49

1 resposta

19

Parece que o servidor openssh passa pela última mensagem do cliente em sua mensagem de erro "Desconexão recebida", portanto, parece que esta é uma tentativa de login zumbi de um botnet criado em Java.

Veja este exemplo de código em packet.c : 

            case SSH2_MSG_DISCONNECT:
                if ((r = sshpkt_get_u32(ssh, &reason)) != 0 ||
                    (r = sshpkt_get_string(ssh, &msg, NULL)) != 0)
                    return r;
                /* Ignore normal client exit notifications */
                do_log2(ssh->state->server_side &&
                    reason == SSH2_DISCONNECT_BY_APPLICATION ?
                    SYSLOG_LEVEL_INFO : SYSLOG_LEVEL_ERROR,
                    "Received disconnect from %s: %u: %.400s",
                    ssh_remote_ipaddr(ssh), reason, msg);
                free(msg);
                return SSH_ERR_DISCONNECTED;
    
por 22.01.2015 / 18:34

Tags

É o F.U.D. sobre ext4 justificado? Ou seria seguro usar em alguns sistemas de produção? Como configuro o sshd no Mac OS X para permitir somente autenticação baseada em chave?