Baru-baru ini, ringkasan log SSH saya untuk server Ubuntu 12.04 saya di Logwatch telah mulai menunjukkan entri untuk "11: Shutdown Normal, Terima kasih telah memainkan [preauth]" bersama dengan "11: Bye Bye [preauth]" dan "11: terputus oleh pesan pengguna "mereka telah tunjukkan sebelumnya.
Saya belum melihat pesan ini di log saya sebelum beberapa minggu terakhir, saya juga belum melihatnya di server lama saya yang macet di Ubuntu 10,04. Saya telah mencari di Google pesan ini dan tidak dapat menemukan penjelasan yang jelas di sana.
IP yang mencoba masuk dan menerima pesan ini adalah upaya peretasan acak, dan menilai dari preauth saya berasumsi (harapan) mereka tidak berhasil, tetapi saya ingin tahu persis apa arti pesan ini dan bagaimana perbedaannya dari yang lain untuk memastikan.
EDIT untuk informasi tambahan: Server saya memiliki otentikasi kata sandi dan otentikasi root keduanya dinonaktifkan
Jawaban:
Ketika klien ssh melakukan shutdown koneksi "normal", ia mengirim paket dengan pesan di dalamnya. Ketika daemon ssh mendapatkan paket seperti itu ketika tidak diharapkan - dalam hal ini, sebelum pengguna berhasil mengautentikasi - itu mencatat pesan. (Versi OpenSSH yang lebih lama tidak melakukan ini.) Jadi dugaan Anda tepat: itu adalah efek samping dari serangan tebak kata sandi ssh. Anda mungkin harus menjalankan sesuatu seperti fail2ban atau sshguard untuk memblokir ini di iptables; bahkan jika Anda berpikir semuanya sudah dikonfigurasikan dengan benar untuk melarang kata sandi, ada baiknya memiliki lapisan pertahanan kedua.
sumber
"thank you for playing"
?Jawaban yang diterima benar tetapi saya pikir saya akan memposting jawaban ini untuk melengkapi dengan alasan perubahan yang menjelaskan mengapa administrator sebelumnya tidak melihat pesan seperti itu di file log mereka.
Masalah ini dibahas pada daftar pengembang OpenSSH pada Januari 2014. Menurut Damien Miller, pengembang OpenSSH ,
sumber
Saya juga telah memperhatikan pesan-pesan ini di file log saya sejak baru-baru ini memutakhirkan paket open-ssh di server saya.
Namun, saya tidak berpikir bahwa pesan-pesan tersebut secara tidak langsung menyiratkan upaya meretas. Beberapa frasa di-hardcode menjadi klien ssh yang sah, mungkin sebagai sisa dari kode pengembangan asli. Klien iOS saya (iSSH) iOS misalnya memancarkan frase ini ketika saya memutuskan sambungan dari server saya sendiri.
sumber