auth.log는 JSchException과 관련된 오류를 표시합니까?

14

설치 서버가 매우 적으며 키만 사용하여 비밀번호 인증을 허용하지 않습니다. 그리고 분명히 Java가 설치되어 있지 않습니다. 일반적으로 내가 시도의 수천 내 암호를 추측하는 스크립트 키디의 하루에 모든 관심을 지불하지 않습니다 - 나는 그들이 내 시스템에서 낭비되는 시간을 파악하는 것은 그들이 시스템에서 낭비하지 않는 시간 않는 암호 인증을 할 수 있습니다. 그러나 /var/log/auth.log에이 메시지가 표시됩니다.

Dec 7 13:43:43 hostname sshd[7412]: Received disconnect from 189.203.240.57: 3: com.jcraft.jsch.JSchException: Auth fail [preauth]

공격자로부터 오는 Java 예외처럼 보이는 것이 언급되어 있습니까?

ssh  authentication 
폴 툼린
소스
1
또한 EC2의 Ubuntu 14.04 인스턴스에서 sshd 로그에서 Java 클래스 이름을 찾는 것에 놀랐습니다. 그것은 당신의 환경과 비슷합니까?
Alex Nauda
@AlexNauda Mine은 Linode VPS입니다.
Paul Tomblin

답변:

20

openssh 서버가 "Received disconnect"오류 메시지에서 클라이언트의 마지막 메시지를 통과하는 것처럼 보이므로 Java로 작성된 봇넷에서 좀비 로그인 시도 인 것으로 보입니다.

openssh의 packet.c다음 코드 예제를 참조하십시오 .

            case SSH2_MSG_DISCONNECT:
                if ((r = sshpkt_get_u32(ssh, &reason)) != 0 ||
                    (r = sshpkt_get_string(ssh, &msg, NULL)) != 0)
                    return r;
                /* Ignore normal client exit notifications */
                do_log2(ssh->state->server_side &&
                    reason == SSH2_DISCONNECT_BY_APPLICATION ?
                    SYSLOG_LEVEL_INFO : SYSLOG_LEVEL_ERROR,
                    "Received disconnect from %s: %u: %.400s",
                    ssh_remote_ipaddr(ssh), reason, msg);
                free(msg);
                return SSH_ERR_DISCONNECTED;
알렉스 나우 다
소스
"서버가 클라이언트 문자열을 통과합니다"-이것이 "안전한"작업입니까? 아니면 보안 관점에서 문제가 될 수 있습니까?
ckujau
packet.c의 코드가 어떤 종류의 악용에 취약하다고 생각되면 openssh 관리자에게보고하는 것을 고려할 수 있습니다. 그러나 일반적으로 이러한 방식으로 문자열을 로그에 전달하면 보안 문제가 발생하지 않는다고 생각합니다.
Alex Nauda
나는 그것을 고려했지만 여기에 먼저 물어보고 싶었다. 아마도 코드 스 니펫에서 실제로 "안전"하다는 것이 분명했을 것이다. 그러나 예, openssh-unix-dev 에서 이것에 대해 물었고 OpenSSH 관리자는 이것이 문제가 아니라고 생각합니다.
ckujau
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.