web-dev-qa-db-ja.com

目的は何ですか?奇妙なログイン試行 "sshd [***]が**。**。**。**から切断を受信しました:11:Bye Bye [preauth]"

私は次のようなものを見ました:

sshd[***]: Invalid user Oracle from **.**.**.**                          // 1st line
sshd[***]: input_userauth_request: invalid user Oracle [preauth]         // 2nd line
sshd[***]: Received disconnect from **.**.**.**: 11: Bye Bye [preauth]   // 3rd line

誰かが私のサーバーにログインしようとしていることを知っていますが、3行目だけが3000回以上繰り返されているとはどういう意味ですか?

つまり、このように(Invalid userまたはinput_userauth_request):

sshd[***]: Received disconnect from **.**.**.**: 11: Bye Bye [preauth]
sshd[***]: Received disconnect from **.**.**.**: 11: Bye Bye [preauth]
sshd[***]: Received disconnect from **.**.**.**: 11: Bye Bye [preauth]

目的とは何ですか、ログインしようとする代わりに"disconnect"なので、彼は何をしようとしていますか?

27
iceX

このエラーは、認証プロセスの致命的なエラーから発生します(OpenSSHバージョン6.1p1 +のmonitor.cを参照)。

攻撃者が何らかのカスタムコードを使用してサーバーにブルートフォースを実行し、不正な認証要求が送信され、サーバーが接続を強制終了する可能性があります。そのため、コードからは、実際にはログインしようとしているように見えますが、サーバーはそれをどのように試みているのかを気にしていません。

したがって、これらのログエントリは、何らかの理由で標的にされた被害者である可能性が高いと思わない限り、心配する必要はありません(この場合、パスワードベースのログインを拒否するなど、特別な予防策を講じる必要があります)。

いずれの場合でも、Cookieカッターによるブルートフォース認証の試みを大幅に妨げる可能性がある場合は、単純なfail2banプログラムをインストールすることをお勧めします。

22
deed02392

私は、3Gドングル(インターネットに直接接続されている)を備えたラップトップ(Linuxを実行している)を時々使用し、これらの何百も取得します。

Oct 21 10:11:52 c4111um sshd[8912]: Failed password for invalid user hash from 203.195.182.30 port 36789 ssh2
Oct 21 10:11:53 c4111um sshd[8912]: Received disconnect from 203.195.182.30: 11: Bye Bye [preauth]
Oct 21 10:11:56 c4111um sshd[8914]: Invalid user admin from 203.195.182.30
Oct 21 10:11:56 c4111um sshd[8914]: input_userauth_request: invalid user admin [preauth]
Oct 21 10:11:56 c4111um sshd[8914]: pam_unix(sshd:auth): check pass; user unknown
Oct 21 10:11:56 c4111um sshd[8914]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=203.195.182.3

http://www.infobyip.com/ip-203.195.182.30.html (通常、中国のチャムから発生)

1
Callum Wilson