web-dev-qa-db-fra.com

Quel est le but? Étrange tentative de connexion "sshd [***] Reprise de la déconnexion de **. **. **. **: 11: Bye Bye [preauth]"

J'ai vu quelque chose comme:

sshd[***]: Invalid user Oracle from **.**.**.**                          // 1st line
sshd[***]: input_userauth_request: invalid user Oracle [preauth]         // 2nd line
sshd[***]: Received disconnect from **.**.**.**: 11: Bye Bye [preauth]   // 3rd line

et je sais que quelqu'un essaie de se connecter à mon serveur, mais qu'est-ce que cela signifie quand il n'y a que la 3ème ligne qui se répète encore et encore pendant, par exemple, 3000+ fois?

Je veux dire, comme ça (il n'y a pas de Invalid user ou input_userauth_request):

sshd[***]: Received disconnect from **.**.**.**: 11: Bye Bye [preauth]
sshd[***]: Received disconnect from **.**.**.**: 11: Bye Bye [preauth]
sshd[***]: Received disconnect from **.**.**.**: 11: Bye Bye [preauth]

Quel est le but de le faire, qu'est-ce qu'il essaie de faire puisque c'est "déconnecter" au lieu d'essayer de se connecter?

27
iceX

Cette erreur résulte d'une erreur fatale dans le processus d'authentification (voir monitor.c des versions OpenSSH 6.1p1 +).

Il est probable que l'attaquant utilise du code personnalisé pour forcer brutalement le serveur, ce qui aboutit à l'envoi de demandes d'authentification incorrectes, ce qui entraîne la suppression de la connexion par le serveur. Donc, d'après le code, il semble qu'ils essaient en fait de se connecter, mais le serveur n'aime pas comment ils tentent cela.

En tant que telles, ces entrées de journal ne vous inquiètent pas sauf si vous pensez que vous êtes susceptible d'être une victime ciblée pour une raison quelconque (auquel cas vous devez prendre des précautions supplémentaires telles que le refus des connexions par mot de passe).

Dans tous les cas, je vous suggère d'installer le simple fail2ban programme si vous ne l'avez pas déjà fait, ce qui gênera considérablement les tentatives d'authentification par force brute à l'emporte pièce.

22
deed02392

J'utilise parfois un ordinateur portable (sous Linux) avec un dongle 3G (directement connecté à Internet) et j'en reçois des centaines:

Oct 21 10:11:52 c4111um sshd[8912]: Failed password for invalid user hash from 203.195.182.30 port 36789 ssh2
Oct 21 10:11:53 c4111um sshd[8912]: Received disconnect from 203.195.182.30: 11: Bye Bye [preauth]
Oct 21 10:11:56 c4111um sshd[8914]: Invalid user admin from 203.195.182.30
Oct 21 10:11:56 c4111um sshd[8914]: input_userauth_request: invalid user admin [preauth]
Oct 21 10:11:56 c4111um sshd[8914]: pam_unix(sshd:auth): check pass; user unknown
Oct 21 10:11:56 c4111um sshd[8914]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=203.195.182.3

http://www.infobyip.com/ip-203.195.182.30.html (provient généralement de nos copains en Chine)

1
Callum Wilson