¿Cuál es el propósito? Intentos extraños de inicio de sesión "sshd [***] Recibido desconectado de **. **. **. **: 11: Bye Bye [preauth]"

Navega tus respuestas
26

He visto algo como: 

sshd[***]: Invalid user oracle from **.**.**.**                          // 1st line
sshd[***]: input_userauth_request: invalid user oracle [preauth]         // 2nd line
sshd[***]: Received disconnect from **.**.**.**: 11: Bye Bye [preauth]   // 3rd line

y sé que alguien intenta iniciar sesión en mi servidor, pero ¿qué significa cuando solo se repite la tercera línea una y otra vez durante más de 3000 veces?

Quiero decir, como este (no hay Invalid user o input_userauth_request ): 

sshd[***]: Received disconnect from **.**.**.**: 11: Bye Bye [preauth]
sshd[***]: Received disconnect from **.**.**.**: 11: Bye Bye [preauth]
sshd[***]: Received disconnect from **.**.**.**: 11: Bye Bye [preauth]

¿Cuál es el propósito de hacerlo, qué está tratando de hacer ya que es "desconectar" en lugar de intentar iniciar sesión?

    
pregunta iceX 22.10.2013 - 05:41
fuente

2 respuestas

19

Este error surge de un error fatal en el proceso de autenticación (consulte monitor.c de las versiones 6.1p1 + de OpenSSH).

Es probable que el atacante esté usando algún código personalizado para forzar la fuerza bruta del servidor, que está terminando con el envío de solicitudes de autenticación mal formadas, lo que hace que el servidor interrumpa la conexión. Entonces, a partir del código, parece que de hecho están intentando iniciar sesión, pero al servidor no le gusta cómo lo intentan.

Como tales, estas entradas de registro no son nada de qué preocuparse a menos que piense que es probable que sea una víctima objetivo por cualquier motivo (en cuyo caso debe tomar precauciones adicionales, como rechazar los inicios de sesión basados en contraseñas). / p>

En cualquier caso, te sugiero que instales el programa simple fail2ban si aún no lo has hecho, lo que dificultará significativamente los intentos de autenticación de fuerza bruta de cookie.

    
respondido por el deed02392 22.10.2013 - 14:29
fuente
1

Utilizo una computadora portátil (con linux) algunas veces con un dongle 3G (conectado directamente a internet) y obtengo cientos de estos: 

Oct 21 10:11:52 c4111um sshd[8912]: Failed password for invalid user hash from 203.195.182.30 port 36789 ssh2
Oct 21 10:11:53 c4111um sshd[8912]: Received disconnect from 203.195.182.30: 11: Bye Bye [preauth]
Oct 21 10:11:56 c4111um sshd[8914]: Invalid user admin from 203.195.182.30
Oct 21 10:11:56 c4111um sshd[8914]: input_userauth_request: invalid user admin [preauth]
Oct 21 10:11:56 c4111um sshd[8914]: pam_unix(sshd:auth): check pass; user unknown
Oct 21 10:11:56 c4111um sshd[8914]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=203.195.182.3

enlace (usualmente se origina de nuestros amigos en China)

    
respondido por el Callum Wilson 22.10.2013 - 16:07
fuente

Lea otras preguntas en las etiquetas

¿Por qué las aplicaciones con verificación telefónica le envían un mensaje al usuario, en lugar de que el usuario le envíe uno? ¿Por qué es más común la propagación de malware.scr en lugar de malware.exe?