it-swarm.dev

Qual è lo scopo? Strani tentativi di accesso "sshd [***] Disconnessione ricevuta da **. **. **. **: 11: Bye Bye [preauth]"

Ho visto qualcosa di simile:

sshd[***]: Invalid user Oracle from **.**.**.**                          // 1st line
sshd[***]: input_userauth_request: invalid user Oracle [preauth]         // 2nd line
sshd[***]: Received disconnect from **.**.**.**: 11: Bye Bye [preauth]   // 3rd line

e so che qualcuno cerca di accedere al mio server, ma cosa significa quando c'è solo la terza riga che si ripete più volte per circa 3000 volte?

Voglio dire, in questo modo (non c'è Invalid user o input_userauth_request):

sshd[***]: Received disconnect from **.**.**.**: 11: Bye Bye [preauth]
sshd[***]: Received disconnect from **.**.**.**: 11: Bye Bye [preauth]
sshd[***]: Received disconnect from **.**.**.**: 11: Bye Bye [preauth]

Qual è scopo di farlo, cosa sta cercando di fare poiché è "disconnetti" invece di provare ad accedere?

27
iceX

Questo errore deriva da un errore fatale nel processo di autenticazione (vedi monitor.c delle versioni OpenSSH 6.1p1 +).

È probabile che l'utente malintenzionato stia utilizzando un codice personalizzato per forzare la forza del server che sta per essere inviato in richieste di autenticazione non valide, causando l'uccisione della connessione da parte del server. Quindi dal codice sembra che stiano effettivamente provando ad accedere, ma al server non piace come ci stiano provando.

Pertanto, queste voci di registro non sono nulla di cui preoccuparsi, a meno che non si pensi di essere una vittima designata per qualsiasi motivo (nel qual caso è necessario prendere ulteriori precauzioni come il rifiuto degli accessi basati su password).

In ogni caso, ti suggerisco di installare il semplice fail2ban programma se non lo hai già fatto, il che ostacolerà in modo significativo i tentativi di autenticazione con brute force di cookie cutter.

22
deed02392

A volte uso un laptop (con Linux) con un dongle 3G (collegato direttamente a Internet) e ottengo centinaia di questi:

Oct 21 10:11:52 c4111um sshd[8912]: Failed password for invalid user hash from 203.195.182.30 port 36789 ssh2
Oct 21 10:11:53 c4111um sshd[8912]: Received disconnect from 203.195.182.30: 11: Bye Bye [preauth]
Oct 21 10:11:56 c4111um sshd[8914]: Invalid user admin from 203.195.182.30
Oct 21 10:11:56 c4111um sshd[8914]: input_userauth_request: invalid user admin [preauth]
Oct 21 10:11:56 c4111um sshd[8914]: pam_unix(sshd:auth): check pass; user unknown
Oct 21 10:11:56 c4111um sshd[8914]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=203.195.182.3

http://www.infobyip.com/ip-203.195.182.30.html (di solito proviene dai nostri amici in Cina)

1
Callum Wilson