auth.log indica error con JSchException?

14

Tengo un servidor de configuración bastante mínimo, y no permite la autenticación de contraseña, solo usando claves. Y definitivamente no tiene Java instalado. Normalmente, no presto atención a los miles de intentos diarios de script kiddies para adivinar mis contraseñas; calculo que el tiempo que desperdician en mi sistema es el tiempo que no están desperdiciando en sistemas que permiten la autenticación de contraseña. Pero estoy viendo este mensaje en /var/log/auth.log:

Dec 7 13:43:43 hostname sshd[7412]: Received disconnect from 189.203.240.57: 3: com.jcraft.jsch.JSchException: Auth fail [preauth]

¿Esa mención de lo que parece una excepción de Java proviene del atacante, o es algo de mi lado?

Paul Tomblin
fuente
1
También me sorprendió encontrar un nombre de clase Java en mi registro sshd, en una instancia de Ubuntu 14.04 en EC2. ¿Es eso similar a tu entorno?
Alex Nauda
@AlexNauda Mine es un VPS Linode.
Paul Tomblin

Respuestas:

20

Parece que el servidor openssh pasa por el último mensaje del cliente en su mensaje de error "Desconexión recibida", por lo que parece que este es un intento de inicio de sesión zombie desde una botnet creada en Java.

Vea este ejemplo de código de openssh's packet.c:

            case SSH2_MSG_DISCONNECT:
                if ((r = sshpkt_get_u32(ssh, &reason)) != 0 ||
                    (r = sshpkt_get_string(ssh, &msg, NULL)) != 0)
                    return r;
                /* Ignore normal client exit notifications */
                do_log2(ssh->state->server_side &&
                    reason == SSH2_DISCONNECT_BY_APPLICATION ?
                    SYSLOG_LEVEL_INFO : SYSLOG_LEVEL_ERROR,
                    "Received disconnect from %s: %u: %.400s",
                    ssh_remote_ipaddr(ssh), reason, msg);
                free(msg);
                return SSH_ERR_DISCONNECTED;
Alex Nauda
fuente
"El servidor pasa a través de una cadena de cliente". ¿Es esto algo "seguro"? ¿O podría ser un problema desde el punto de vista de la seguridad ?
ckujau
Si cree que el código en packet.c es vulnerable a algún tipo de explotación, podría considerar informarlo a los mantenedores de openssh. Sin embargo, en general, no creo que pasar una cadena a los registros de esta manera presente un problema de seguridad.
Alex Nauda
Lo consideré, pero quería preguntar aquí primero, tal vez era obvio por el fragmento de código que de hecho es "seguro". Pero sí, pregunté sobre esto en openssh-unix-dev y el responsable de OpenSSH piensa que no es un problema.
ckujau