У меня довольно минимальный сервер установки, и он не позволяет аутентификацию по паролю, только с использованием ключей. И на нем определенно не установлена Java. Обычно я не обращаю внимания на тысячи попыток скриптовых детишек в день угадать мои пароли - я считаю, что время, которое они тратят на мою систему, - это время, которое они не тратят на системы, которые делать разрешить парольную аутентификацию. Но я вижу это сообщение в /var/log/auth.log:
Dec 7 13:43:43 hostname sshd[7412]: Received disconnect from 189.203.240.57: 3: com.jcraft.jsch.JSchException: Auth fail [preauth]
Это упоминание о том, что похоже на исключение Java, исходящее от злоумышленника, или это от чего-то на моей стороне?
Похоже, что сервер openssh передает последнее сообщение от клиента в своем сообщении об ошибке «Получено отключение», поэтому похоже, что это попытка зомби-входа в систему из ботнета, созданного на Java.
См. Этот пример кода из openssh packet.c:
case SSH2_MSG_DISCONNECT:
if ((r = sshpkt_get_u32(ssh, &reason)) != 0 ||
(r = sshpkt_get_string(ssh, &msg, NULL)) != 0)
return r;
/* Ignore normal client exit notifications */
do_log2(ssh->state->server_side &&
reason == SSH2_DISCONNECT_BY_APPLICATION ?
SYSLOG_LEVEL_INFO : SYSLOG_LEVEL_ERROR,
"Received disconnect from %s: %u: %.400s",
ssh_remote_ipaddr(ssh), reason, msg);
free(msg);
return SSH_ERR_DISCONNECTED;