Qual è lo scopo? Strani tentativi di accesso "ssh [***] Ricevuto disconnessione da **. **. **. **: 11: Bye Bye [preauth]"

26

Ho visto qualcosa del tipo:

sshd[***]: Invalid user oracle from **.**.**.**                          // 1st line
sshd[***]: input_userauth_request: invalid user oracle [preauth]         // 2nd line
sshd[***]: Received disconnect from **.**.**.**: 11: Bye Bye [preauth]   // 3rd line

e so che qualcuno cerca di accedere al mio server, ma cosa significa quando c'è solo la terza riga che si ripete più e più volte per, tipo, 3000+ volte?

Voglio dire, come questo (non c'è Invalid user o input_userauth_request ):

sshd[***]: Received disconnect from **.**.**.**: 11: Bye Bye [preauth]
sshd[***]: Received disconnect from **.**.**.**: 11: Bye Bye [preauth]
sshd[***]: Received disconnect from **.**.**.**: 11: Bye Bye [preauth]

Qual è lo scopo di farlo, cosa sta cercando di fare poiché è "disconnettere" invece di provare ad accedere?

    
posta iceX 22.10.2013 - 05:41
fonte

2 risposte

19

Questo errore aumenta da un errore fatale nel processo di autenticazione (vedi monitor.c di OpenSSH versioni 6.1p1 +).

È probabile che l'autore dell'attacco stia utilizzando un codice personalizzato per forzare il server che sta terminando in richieste di autenticazione non formate che vengono inviate, causando il server che uccide la connessione. Quindi dal codice sembra che stiano di fatto tentando di accedere, ma al server non piace come stanno tentando di farlo.

Pertanto, queste voci di registro non sono nulla di cui preoccuparsi a meno che non si pensi che si possa essere vittima mirata per qualsiasi motivo (nel qual caso si dovrebbero prendere precauzioni extra come rifiutare gli accessi basati su password).

In ogni caso, ti suggerisco di installare il semplice programma fail2ban se non lo hai ancora, il che ostacolerà in modo significativo i tentativi di autenticazione a forza bruta di cookie-cutter.

    
risposta data 22.10.2013 - 14:29
fonte
1

Uso un laptop (con Linux) con un dongle 3G (collegato direttamente a Internet) e ottengo centinaia di questi:

Oct 21 10:11:52 c4111um sshd[8912]: Failed password for invalid user hash from 203.195.182.30 port 36789 ssh2
Oct 21 10:11:53 c4111um sshd[8912]: Received disconnect from 203.195.182.30: 11: Bye Bye [preauth]
Oct 21 10:11:56 c4111um sshd[8914]: Invalid user admin from 203.195.182.30
Oct 21 10:11:56 c4111um sshd[8914]: input_userauth_request: invalid user admin [preauth]
Oct 21 10:11:56 c4111um sshd[8914]: pam_unix(sshd:auth): check pass; user unknown
Oct 21 10:11:56 c4111um sshd[8914]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=203.195.182.3

link (di solito proviene dai nostri amici in Cina)

    
risposta data 22.10.2013 - 16:07
fonte

Leggi altre domande sui tag