O que significa "Desligamento normal, obrigado por reproduzir [pré-gravação]" Nos registros SSH?

37

Recentemente, meus resumos de log SSH para meus servidores Ubuntu 12.04 no Logwatch começaram a mostrar entradas para "11: Desligamento normal, obrigado por jogar [preauth]" junto com "11: Bye Bye [preauth]" e "11: desconectado por usuário "que eles estavam mostrando anteriormente.

Não vi essa mensagem nos meus logs antes das últimas semanas, nem nos meus servidores mais antigos que estão presos no Ubuntu 10.04. Eu pesquisei esta mensagem no Google e também não consigo encontrar explicações claras.

Os IPs que tentam fazer login e receber esta mensagem são tentativas aleatórias de hack e, a julgar pelo pré-requisito, espero que não sejam bem-sucedidos, mas eu gostaria de saber exatamente o que essa mensagem significa e como ela difere dos outros para ter certeza.

EDITAR para obter informações adicionais: Meus servidores têm autenticação por senha e autenticação root desabilitadas

ssh logwatch Dave Stern
fonte
Qual versão do libssh2 foi atualizada recentemente? Tanto quanto eu sei, isso é apenas uma finalização normal quando o servidor não pode autenticar o usuário.
nervo
O próprio SSH possui a seguinte saída "ssh -V": OpenSSH_5.9p1 Debian-5ubuntu1.1, OpenSSL 1.0.1 14 de março de 2012. Não sei ao certo onde rastrear o número da versão libssh2.
Dave Stern

Respostas:

36

Quando o cliente ssh faz um desligamento "normal" da conexão, ele envia um pacote com uma mensagem. Quando o daemon ssh obtém esse pacote quando não o espera - nesse caso, antes do usuário conseguir se autenticar -, ele registra a mensagem. (As versões mais antigas do OpenSSH não fizeram isso.) Portanto, sua suposição é exatamente correta: é um efeito colateral de um ataque de adivinhação de senha ssh de força bruta. Você provavelmente deve estar executando algo como fail2ban ou sshguard para bloqueá-los no iptables; mesmo que você ache que tudo está configurado corretamente para não permitir senhas, é bom ter uma segunda camada de defesa.

Garrett Wollman
fonte
15
Mas porque "thank you for playing"?
QBack
7
@Qback 😂 Snark legado das primeiras barbas cinzas do Linux.
Aaiezza 19/09/19
10

A resposta aceita está correta, mas pensei em publicá-la para complementá-la com um motivo da mudança, explicando por que os administradores não viram essas mensagens anteriormente em seus arquivos de log.

Este problema foi discutido na lista de desenvolvedores do OpenSSH em janeiro de 2014. De acordo com Damien Miller, desenvolvedor do OpenSSH ,

A mensagem está lá basicamente para sempre:

1,41 (markus 02-Jan-01): log ("Desconectada recebida de% s:% d:% .400s", ...

A única coisa que mudou semi-recentemente é que melhoramos o log de mensagens de pré-autenticação no modo privsep na versão 5.9 para não precisar mais de um /dev/logchroot privsep. Se a sua versão antiga do OpenSSH era <5.9 e o /var/emptychroot não tinha um /dev/log, então você pode estar perdendo essas mensagens.

Anthony G - justiça para Monica
fonte
2

Eu também notei essas mensagens nos meus arquivos de log desde que atualizei recentemente o pacote open-ssh em meus servidores.

No entanto, não acho que as mensagens impliquem necessariamente tentativas de invasão. Algumas das frases são codificadas em clientes ssh legítimos, presumivelmente como remanescentes do código de desenvolvimento original. Meu cliente ssh do iOS (iSSH), por exemplo, emite esta frase quando eu me desconecto dos meus próprios servidores.

ebahn
fonte
1
Não com [preauth]. Isso indica especificamente que o cliente não foi autenticado com êxito no servidor.
Michael Hampton
1
Você está certo, Michael. Eu estava me referindo apenas à frase "Desligamento normal, obrigado por jogar". Obviamente, quando eu me conecto legitimamente ao meu próprio servidor, a autenticação prossegue. Eu acho que a atenção a essas frases e similares ('Desligamento normal ..') é porque elas não eram visíveis anteriormente nos logs e agora são. Não há alterações no comportamento do cliente ssh.
ebahn