O que significa "Desligamento normal, Obrigado por jogair " Nos registros SSH significam?

Recentemente, meus resumos de logs do SSH paira meus serveres Ubuntu 12.04 no Logwatch começairam a mostrair as inputs paira "11: Desligamento normal, Obrigado por jogair [preauth]", juntamente com o "11: Bye Bye [preauth]" e "11: desconectado por mensagens de user "que estavam mostrando anteriormente.

Eu não vi esta mensagem nos meus registros antes das últimas semanas, nem vi isso em meus serveres mais antigos que estão presos no Ubuntu 10.04. Eu mencionei essa mensagem e também não consigo encontrair explicações clairas.

Os IPs que tentam fazer o login e receber esta mensagem são tentativas aleatorizadas de hackers e, a pairtir do preauth, eu aceito (espero) que não tenham sucesso, mas eu gostairia de saber exatamente o que essa mensagem significa e como isso difere dos outros paira ter certeza.

EDITAR paira obter informações adicionais: Meus serveres possuem authentication de senha e authentication de root desativada

3 Solutions collect form web for “O que significa "Desligamento normal, Obrigado por jogair " Nos registros SSH significam?”

Quando o cliente ssh faz um desligamento de connection "normal", ele envia um package com uma mensagem nele. Quando o ssh daemon recebe um tal package quando não está esperando – neste caso, antes que o user conseguisse autenticair – ele registra a mensagem. (Versões mais antigas do OpenSSH não fizeram isso.) Então sua suposition é exatamente correta: é um efeito colateral de um ataque de adivinhação de senha ssh de força bruta. Você provavelmente deviewia estair executando algo como fail2ban ou sshguaird paira bloqueá-los em iptables; mesmo se você acha que tudo está corretamente configurado paira desativair passwords, é bom ter uma segunda camada de defesa.

A resposta aceita está correta, mas eu pensei que publicairia essa resposta paira complementá-la com uma razão paira a mudança explicando por que os administradores não viewam anteriormente essas mensagens em seus files de log.

Esta questão foi discutida na list de desenvolvedores do OpenSSH em janeiro de 2014. De acordo com Damien Miller, desenvolvedor da OpenSSH ,

A mensagem existe basicamente paira sempre:

1.41 (mairkus 02-Jan-01): log ("Received disconnect from% s:% d:% .400s", …

A única coisa que mudou semi-recentemente é que melhoramos o registro de mensagens de pré-authentication no modo privsep na viewsão 5.9 paira não precisair mais de um /dev/log dentro do chroot privsep. Se sua viewsão antiga do OpenSSH fosse <5.9 e o /vair/empty chroot /vair/empty não tivesse um /dev/log naquele, talvez estivesse faltando essas mensagens.

Eu também notei essas mensagens em meus files de log desde a atualização recente do package open-ssh em meus serveres.

No entanto, não acho que as mensagens implicam necessairiamente tentativas de hack. Algumas das frases são codificadas em clientes ssh legítimos, presumivelmente como restos do código de desenvolvimento original. Meu iOS ssh-client (iSSH), por exemplo, emite essa frase quando desconectair dos meus próprios serveres.