Question auth.log indique une erreur avec JSchException?


J'ai un serveur d'installation assez minimal, et il n'autorise pas l'authentification par mot de passe, n'utilise que des clés. Et Java n'est certainement pas installé. Normalement, je ne fais pas attention aux milliers de tentatives par jour de script kiddies pour deviner mes mots de passe - je suppose que le temps qu'ils perdent sur mon système est le temps qu'ils ne gaspillent pas sur des systèmes qui faire autoriser l'authentification par mot de passe. Mais je vois ce message dans /var/log/auth.log:

Dec 7 13:43:43 hostname sshd[7412]: Received disconnect from 189.203.240.57: 3: com.jcraft.jsch.JSchException: Auth fail [preauth]

Est-ce une mention de ce qui ressemble à une exception Java provenant de l'attaquant, ou s'agit-il de quelque chose de mon côté?


14
2017-12-09 15:49


origine


J'ai également été surpris de trouver un nom de classe Java dans mon journal sshd, sur une instance Ubuntu 14.04 sur EC2. Est-ce similaire à votre environnement? - Alex Nauda
@AlexNauda Mine est un VPS Linode. - Paul Tomblin


Réponses:


Il semble que le serveur openssh passe par le dernier message du client dans son message d'erreur "Received disconnect" (déconnexion reçue). Il semble donc qu'il s'agisse d'une tentative de connexion zombie à partir d'un botnet créé en Java.

Voir cet exemple de code tiré de openssh packet.c:

            case SSH2_MSG_DISCONNECT:
                if ((r = sshpkt_get_u32(ssh, &reason)) != 0 ||
                    (r = sshpkt_get_string(ssh, &msg, NULL)) != 0)
                    return r;
                /* Ignore normal client exit notifications */
                do_log2(ssh->state->server_side &&
                    reason == SSH2_DISCONNECT_BY_APPLICATION ?
                    SYSLOG_LEVEL_INFO : SYSLOG_LEVEL_ERROR,
                    "Received disconnect from %s: %u: %.400s",
                    ssh_remote_ipaddr(ssh), reason, msg);
                free(msg);
                return SSH_ERR_DISCONNECTED;

19
2018-01-22 17:34



"Le serveur passe par une chaîne de client" - s'agit-il d'une opération "sans danger"? Ou est-ce que cela pourrait être un problème d'un point de vue de la sécurité? - ckujau
Si vous pensez que le code dans packet.c est vulnérable à une sorte d’exploitation, vous pouvez envisager de le signaler aux responsables opensh. En général cependant, je ne pense pas que transmettre une chaîne aux journaux de cette manière pose un problème de sécurité. - Alex Nauda
Je réfléchissais à cela, mais je voulais d'abord poser la question ici. Peut-être était-il évident dans l'extrait de code que c'était effectivement "sûr". Mais oui, j'ai demandé à ce sujet sur openssh-unix-dev et le responsable OpenSSH pense que ce n'est pas un problème. - ckujau