auth.log indique une erreur avec JSchException?

14

J'ai un serveur d'installation assez minimal et il n'autorise pas l'authentification par mot de passe, uniquement à l'aide de clés. Et il n'a certainement pas installé Java. Normalement , je ne fais pas attention aux milliers de tentatives par jour de script kiddies pour deviner mes mots de passe - je figure le temps qu'ils perdent sur mon système est temps ils ne sont pas perdre sur les systèmes qui ne permettent l' authentification par mot de passe. Mais je vois ce message dans /var/log/auth.log:

Dec 7 13:43:43 hostname sshd[7412]: Received disconnect from 189.203.240.57: 3: com.jcraft.jsch.JSchException: Auth fail [preauth]

Est-ce que cette mention de ce qui ressemble à une exception Java vient de l'attaquant, ou est-ce de quelque chose de mon côté?

Paul Tomblin
la source
1
J'ai également été surpris de trouver un nom de classe Java dans mon journal sshd, sur une instance Ubuntu 14.04 sur EC2. Est-ce similaire à votre environnement?
Alex Nauda
@AlexNauda Mine est un VPS Linode.
Paul Tomblin

Réponses:

20

Il semble que le serveur openssh passe par le dernier message du client dans son message d'erreur "Déconnexion reçue", il semble donc qu'il s'agit d'une tentative de connexion zombie à partir d'un botnet créé en Java.

Voir cet exemple de code de openssh packet.c:

            case SSH2_MSG_DISCONNECT:
                if ((r = sshpkt_get_u32(ssh, &reason)) != 0 ||
                    (r = sshpkt_get_string(ssh, &msg, NULL)) != 0)
                    return r;
                /* Ignore normal client exit notifications */
                do_log2(ssh->state->server_side &&
                    reason == SSH2_DISCONNECT_BY_APPLICATION ?
                    SYSLOG_LEVEL_INFO : SYSLOG_LEVEL_ERROR,
                    "Received disconnect from %s: %u: %.400s",
                    ssh_remote_ipaddr(ssh), reason, msg);
                free(msg);
                return SSH_ERR_DISCONNECTED;
Alex Nauda
la source
"Le serveur passe par une chaîne client" - est-ce une chose "sûre" à faire? Ou cela pourrait-il être un problème du point de vue de la sécurité ?
ckujau
Si vous pensez que le code de packet.c est vulnérable à une sorte d'exploitation, vous pourriez envisager de le signaler aux mainteneurs openssh. En général cependant, je ne pense pas que le passage d'une chaîne aux journaux de cette manière présente un problème de sécurité.
Alex Nauda
J'y ai pensé, mais je voulais d'abord demander ici, peut-être qu'il était évident d'après l'extrait de code qu'il est en effet "sûr". Mais oui, j'ai posé des questions à ce sujet sur openssh-unix-dev et le responsable d'OpenSSH pense que ce n'est pas un problème.
ckujau