auth.log menunjukkan kesalahan dengan JSchException?


14

Saya memiliki server pengaturan yang cukup minim, dan tidak mengizinkan otentikasi kata sandi, hanya menggunakan kunci. Dan itu pasti tidak menginstal Java. Biasanya saya tidak membayar perhatian kepada ribuan upaya hari script kiddies untuk menebak password saya - saya mencari waktu yang mereka buang di sistem saya adalah waktu mereka tidak membuang-buang pada sistem yang tidak memungkinkan otentikasi password. Tapi saya melihat pesan ini di /var/log/auth.log:

Dec 7 13:43:43 hostname sshd[7412]: Received disconnect from 189.203.240.57: 3: com.jcraft.jsch.JSchException: Auth fail [preauth]

Apakah itu menyebutkan apa yang tampak seperti pengecualian Java yang berasal dari penyerang, atau apakah itu dari sesuatu yang ada di pihak saya?


1
Saya juga terkejut menemukan Java classname di sshd log saya, pada contoh Ubuntu 14.04 di EC2. Apakah itu mirip dengan lingkungan Anda?
Alex Nauda

@AlexNauda Mine adalah VPS Linode.
Paul Tomblin

Jawaban:


20

Sepertinya server openssh melewati pesan terakhir dari klien dalam pesan kesalahan "Received disconnect", sehingga tampaknya ini adalah upaya masuk zombie dari botnet yang ditulis di Jawa.

Lihat contoh kode ini dari openssh's packet.c:

            case SSH2_MSG_DISCONNECT:
                if ((r = sshpkt_get_u32(ssh, &reason)) != 0 ||
                    (r = sshpkt_get_string(ssh, &msg, NULL)) != 0)
                    return r;
                /* Ignore normal client exit notifications */
                do_log2(ssh->state->server_side &&
                    reason == SSH2_DISCONNECT_BY_APPLICATION ?
                    SYSLOG_LEVEL_INFO : SYSLOG_LEVEL_ERROR,
                    "Received disconnect from %s: %u: %.400s",
                    ssh_remote_ipaddr(ssh), reason, msg);
                free(msg);
                return SSH_ERR_DISCONNECTED;

"Server melewati string klien" - apakah ini hal yang "aman" untuk dilakukan? Atau mungkinkah ini masalah dari sudut pandang keamanan ?
ckujau

Jika Anda yakin kode dalam paket.c rentan terhadap semacam eksploitasi, Anda dapat mempertimbangkan melaporkannya ke pengelola openssh. Secara umum, saya tidak berpikir bahwa meneruskan string ke log dengan cara ini menghadirkan masalah keamanan.
Alex Nauda

Saya menganggap itu, tapi saya ingin bertanya di sini dulu, mungkin sudah jelas dari cuplikan kode bahwa itu memang "aman". Tapi ya, saya bertanya tentang ini di openssh-unix-dev dan pengelola OpenSSH berpikir itu bukan masalah.
ckujau
Dengan menggunakan situs kami, Anda mengakui telah membaca dan memahami Kebijakan Cookie dan Kebijakan Privasi kami.
Licensed under cc by-sa 3.0 with attribution required.