auth.logはJSchExceptionでエラーを示しますか?

14

私はかなり最小限のセットアップサーバーを使用しており、キーのみを使用してパスワード認証を許可していません。また、Javaがインストールされていません。通常、スクリプトキディが1日に何千回もパスワードを推測しようとすることには注意を払っていません。システムで無駄になる時間、パスワード認証を許可するシステムを無駄にしない時間だと思います。しかし、/ var / log / auth.logに次のメッセージが表示されます。

Dec 7 13:43:43 hostname sshd[7412]: Received disconnect from 189.203.240.57: 3: com.jcraft.jsch.JSchException: Auth fail [preauth]

攻撃者から来たJava例外のように見えるものについての言及ですか、それとも私の側の何かからですか?

ssh  authentication 
ポール・トンブリン
ソース
1
EC2のUbuntu 14.04インスタンスで、sshdログにJavaクラス名が見つかったことにも驚きました。それはあなたの環境に似ていますか?
アレックスナウダ
@AlexNauda MineはLinode VPSです。
ポールトムブリン

回答:

20

opensshサーバーは、「Received disconnect」エラーメッセージでクライアントからの最後のメッセージを通過するように見えるため、これはJavaで作成されたボットネットからのゾンビログイン試行のようです。

opensshのpacket.c次のコード例を参照してください。

            case SSH2_MSG_DISCONNECT:
                if ((r = sshpkt_get_u32(ssh, &reason)) != 0 ||
                    (r = sshpkt_get_string(ssh, &msg, NULL)) != 0)
                    return r;
                /* Ignore normal client exit notifications */
                do_log2(ssh->state->server_side &&
                    reason == SSH2_DISCONNECT_BY_APPLICATION ?
                    SYSLOG_LEVEL_INFO : SYSLOG_LEVEL_ERROR,
                    "Received disconnect from %s: %u: %.400s",
                    ssh_remote_ipaddr(ssh), reason, msg);
                free(msg);
                return SSH_ERR_DISCONNECTED;
アレックス・ナウダ
ソース
「サーバーはクライアント文字列を通過します」-これは「安全な」ことですか?または、これはセキュリティの観点から問題になる可能性がありますか?
ckujau
packet.cのコードが何らかの悪用に対して脆弱であると思われる場合は、opensshメンテナーに報告することを検討してください。ただし、一般的に、この方法で文字列をログに渡すことでセキュリティの問題が生じるとは思いません。
アレックスナウダ
私はそれを考えましたが、最初にここで質問したかったのですが、コードスニペットから、それが実際に「安全」であることが明らかでした。しかし、はい、openssh-unix-devでこれについて尋ねたところ、OpenSSHメンテナはそれが問題ではないと考えています。
ckujau
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.