Recentemente, meus resumos de log SSH para meus servidores Ubuntu 12.04 no Logwatch começaram a mostrar entradas para "11: Desligamento normal, obrigado por jogar [preauth]" junto com "11: Bye Bye [preauth]" e "11: desconectado por usuário "que eles estavam mostrando anteriormente.
Não vi essa mensagem nos meus logs antes das últimas semanas, nem nos meus servidores mais antigos que estão presos no Ubuntu 10.04. Eu pesquisei esta mensagem no Google e também não consigo encontrar explicações claras.
Os IPs que tentam fazer login e receber esta mensagem são tentativas aleatórias de hack e, a julgar pelo pré-requisito, espero que não sejam bem-sucedidos, mas eu gostaria de saber exatamente o que essa mensagem significa e como ela difere dos outros para ter certeza.
EDITAR para obter informações adicionais: Meus servidores têm autenticação por senha e autenticação root desabilitadas
Respostas:
Quando o cliente ssh faz um desligamento "normal" da conexão, ele envia um pacote com uma mensagem. Quando o daemon ssh obtém esse pacote quando não o espera - nesse caso, antes do usuário conseguir se autenticar -, ele registra a mensagem. (As versões mais antigas do OpenSSH não fizeram isso.) Portanto, sua suposição é exatamente correta: é um efeito colateral de um ataque de adivinhação de senha ssh de força bruta. Você provavelmente deve estar executando algo como fail2ban ou sshguard para bloqueá-los no iptables; mesmo que você ache que tudo está configurado corretamente para não permitir senhas, é bom ter uma segunda camada de defesa.
fonte
"thank you for playing"
?A resposta aceita está correta, mas pensei em publicá-la para complementá-la com um motivo da mudança, explicando por que os administradores não viram essas mensagens anteriormente em seus arquivos de log.
Este problema foi discutido na lista de desenvolvedores do OpenSSH em janeiro de 2014. De acordo com Damien Miller, desenvolvedor do OpenSSH ,
fonte
Eu também notei essas mensagens nos meus arquivos de log desde que atualizei recentemente o pacote open-ssh em meus servidores.
No entanto, não acho que as mensagens impliquem necessariamente tentativas de invasão. Algumas das frases são codificadas em clientes ssh legítimos, presumivelmente como remanescentes do código de desenvolvimento original. Meu cliente ssh do iOS (iSSH), por exemplo, emite esta frase quando eu me desconecto dos meus próprios servidores.
fonte