J'ai un serveur d'installation assez minimal et il n'autorise pas l'authentification par mot de passe, uniquement à l'aide de clés. Et il n'a certainement pas installé Java. Normalement , je ne fais pas attention aux milliers de tentatives par jour de script kiddies pour deviner mes mots de passe - je figure le temps qu'ils perdent sur mon système est temps ils ne sont pas perdre sur les systèmes qui ne permettent l' authentification par mot de passe. Mais je vois ce message dans /var/log/auth.log:
Dec 7 13:43:43 hostname sshd[7412]: Received disconnect from 189.203.240.57: 3: com.jcraft.jsch.JSchException: Auth fail [preauth]
Est-ce que cette mention de ce qui ressemble à une exception Java vient de l'attaquant, ou est-ce de quelque chose de mon côté?
la source
Réponses:
Il semble que le serveur openssh passe par le dernier message du client dans son message d'erreur "Déconnexion reçue", il semble donc qu'il s'agit d'une tentative de connexion zombie à partir d'un botnet créé en Java.
Voir cet exemple de code de openssh
packet.c
:la source