Apa yang dimaksud dengan “Shutdown Normal, Terima kasih telah bermain [preauth]” Dalam log SSH?

37

Baru-baru ini, ringkasan log SSH saya untuk server Ubuntu 12.04 saya di Logwatch telah mulai menunjukkan entri untuk "11: Shutdown Normal, Terima kasih telah memainkan [preauth]" bersama dengan "11: Bye Bye [preauth]" dan "11: terputus oleh pesan pengguna "mereka telah tunjukkan sebelumnya.

Saya belum melihat pesan ini di log saya sebelum beberapa minggu terakhir, saya juga belum melihatnya di server lama saya yang macet di Ubuntu 10,04. Saya telah mencari di Google pesan ini dan tidak dapat menemukan penjelasan yang jelas di sana.

IP yang mencoba masuk dan menerima pesan ini adalah upaya peretasan acak, dan menilai dari preauth saya berasumsi (harapan) mereka tidak berhasil, tetapi saya ingin tahu persis apa arti pesan ini dan bagaimana perbedaannya dari yang lain untuk memastikan.

EDIT untuk informasi tambahan: Server saya memiliki otentikasi kata sandi dan otentikasi root keduanya dinonaktifkan

ssh logwatch Dave Stern
sumber
Apa versi libssh2, dan apakah itu baru saja diperbarui? Sejauh yang saya tahu, ini hanya pemutusan normal ketika server tidak dapat mengotentikasi pengguna.
saraf
SSH sendiri memiliki output "ssh -V" berikut: OpenSSH_5.9p1 Debian-5ubuntu1.1, OpenSSL 1.0.1 14 Mar 2012. Saya tidak yakin di mana melacak nomor versi libssh2.
Dave Stern

Jawaban:

36

Ketika klien ssh melakukan shutdown koneksi "normal", ia mengirim paket dengan pesan di dalamnya. Ketika daemon ssh mendapatkan paket seperti itu ketika tidak diharapkan - dalam hal ini, sebelum pengguna berhasil mengautentikasi - itu mencatat pesan. (Versi OpenSSH yang lebih lama tidak melakukan ini.) Jadi dugaan Anda tepat: itu adalah efek samping dari serangan tebak kata sandi ssh. Anda mungkin harus menjalankan sesuatu seperti fail2ban atau sshguard untuk memblokir ini di iptables; bahkan jika Anda berpikir semuanya sudah dikonfigurasikan dengan benar untuk melarang kata sandi, ada baiknya memiliki lapisan pertahanan kedua.

Garrett Wollman
sumber
15
Tapi mengapa "thank you for playing"?
Qback
7
@Qback 😂 Warisan snark dari janggut abu-abu awal Linux.
aaiezza
10

Jawaban yang diterima benar tetapi saya pikir saya akan memposting jawaban ini untuk melengkapi dengan alasan perubahan yang menjelaskan mengapa administrator sebelumnya tidak melihat pesan seperti itu di file log mereka.

Masalah ini dibahas pada daftar pengembang OpenSSH pada Januari 2014. Menurut Damien Miller, pengembang OpenSSH ,

Pesan itu pada dasarnya sudah ada di sana selamanya:

1.41 (markus 02-Jan-01): log ("Sambungan yang diterima dari% s:% d:% .400s", ...

Satu-satunya hal yang telah berubah semi-baru-baru ini adalah bahwa kami meningkatkan pencatatan pesan preauthentikasi dalam mode privsep dalam rilis 5.9 untuk tidak lagi memerlukan bagian /dev/logdalam chroot privsep. Jika versi OpenSSH lama Anda adalah <5.9 dan /var/emptychroot tidak memiliki /dev/logdi dalamnya maka Anda mungkin telah kehilangan pesan-pesan ini.

Anthony G - keadilan untuk Monica
sumber
2

Saya juga telah memperhatikan pesan-pesan ini di file log saya sejak baru-baru ini memutakhirkan paket open-ssh di server saya.

Namun, saya tidak berpikir bahwa pesan-pesan tersebut secara tidak langsung menyiratkan upaya meretas. Beberapa frasa di-hardcode menjadi klien ssh yang sah, mungkin sebagai sisa dari kode pengembangan asli. Klien iOS saya (iSSH) iOS misalnya memancarkan frase ini ketika saya memutuskan sambungan dari server saya sendiri.

ebahn
sumber
1
Tidak dengan [preauth]. Ini secara khusus menunjukkan bahwa klien tidak berhasil mengotentikasi ke server.
Michael Hampton
1
Anda benar, Michael. Saya hanya merujuk pada frasa "Shutdown Normal, Terima kasih telah bermain". Jelas, ketika saya secara sah terhubung ke server saya sendiri, hasil penghentian. Saya pikir perhatian pada frasa ini dan yang serupa ('Normal Shutdown ..') adalah karena mereka sebelumnya tidak terlihat di log, dan sekarang mereka. Tidak ada perubahan dalam perilaku klien ssh.
ebahn