|
| 'failed password' fra en sshd der kun tale~ Fra : Alex Holst |
Dato : 03-10-04 03:10 |
|
I forbindelse med de ssh bruteforce forsoeg hele verden ser for tiden,
har det undret mig, at forsoegene bliver logget som: "Failed password
for invalid user foo".
I min sshd er password og keyboard-interactive logins ikke tilladte, og
naar jeg selv forsoeger at logge ind fra en dummy klient (der ikke har
lov til at logge ind), kan jeg kun fremprovokere disse to beskeder i
serverens log:
"Failed none for invalid user foo"
"Failed publickey for invalid user foo"
Hvis jeg fra samme klient connecter med debug3 ser jeg i verbose output
paa klienten:
debug1: Authentications that can continue: publickey
debug3: start over, passed a different list publickey
debug3: preferred publickey,keyboard-interactive,password
debug3: authmethod_lookup publickey
debug3: remaining preferred keyboard-interactive,password
debug3: authmethod_is_enabled publickey
debug1: Next authentication method: publickey
Hvorfor tror min sshd at bruteforcerne har forsoegt at logge ind med
password?
Hvor pokker kommer "preferred publickey,keyboard-interactive,password"
pludslig fra?
Jeg har ledt i OpenSSH kildekoden og IETF drafts efter svaret, uden at
finde det. Forslag til hvorfor min sshd goer saadan?
--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org
OSS/FAQ for dk.edb.sikkerhed: http://sikkerhed-faq.dk
| |
Stig Johansen (03-10-2004)
| Kommentar Fra : Stig Johansen |
Dato : 03-10-04 06:38 |
|
Alex Holst wrote:
Jeg er ikke den store c-haj, men se inline.
[snip sshd log]
> Hvis jeg fra samme klient connecter med debug3 ser jeg i verbose output
> paa klienten:
>
> debug1: Authentications that can continue: publickey
> debug3: start over, passed a different list publickey
> debug3: preferred publickey,keyboard-interactive,password
> debug3: authmethod_lookup publickey
> debug3: remaining preferred keyboard-interactive,password
> debug3: authmethod_is_enabled publickey
> debug1: Next authentication method: publickey
>
> Hvorfor tror min sshd at bruteforcerne har forsoegt at logge ind med
> password?
Det er ikke sikkert den toro det.
>
> Hvor pokker kommer "preferred publickey,keyboard-interactive,password"
> pludslig fra?
Fra sshconnect2.c
Output:
> debug1: Authentications that can continue: publickey
viser, at hosten /kun/ returnerer 'publickey' i authlist.
Output:
> debug3: start over, passed a different list publickey
Samme.
Output:
> debug3: preferred publickey,keyboard-interactive,password
<code snippet>
preferred = options.preferred_authentications;
debug3("preferred %s", preferred);
</code snippet>
Her er det alstå preffered, og ikke authlist, der bliver printet ud.
Et kig på kommentaren:
/* Use a suitable default if we're passed a nil list. */
beskriver det åbenbart som en passende default.
Et kig længere oppe vider, at netop keyboard-interactive og password bliver
initieret med 'batch_mode' og ikke NULL.
> Jeg har ledt i OpenSSH kildekoden og IETF drafts efter svaret, uden at
> finde det. Forslag til hvorfor min sshd goer saadan?
Der er noget. der tyder på en bug/feature i output fra klienten, og ikke
sshd.
--
Med venlig hilsen
Stig Johansen
| |
Stig Johansen (03-10-2004)
| Kommentar Fra : Stig Johansen |
Dato : 03-10-04 08:57 |
|
BTW
> Alex Holst wrote:
> I forbindelse med de ssh bruteforce forsoeg hele verden ser for tiden,
> har det undret mig, at forsoegene bliver logget som: "Failed password
> for invalid user foo".
Kan det ikke tænkes, at der er tale om en *nix malware (trojan,zombie..
whatever), der kører i userspace, og ukritisk forsøger authentication via
user/password?
(Med de tidsintervaller, jeg har i min log, er der ellers tale om en fandens
hurtigtaster)
--
Med venlig hilsen
Stig Johansen
| |
Alex Holst (03-10-2004)
| Kommentar Fra : Alex Holst |
Dato : 03-10-04 11:05 |
|
Stig Johansen wrote:
> Kan det ikke tænkes, at der er tale om en *nix malware (trojan,zombie..
> whatever), der kører i userspace, og ukritisk forsøger authentication via
> user/password?
Jo, men hvordan er det muligt? Min sshd tilbyder slet ikke password
authentication. Forsoeg gerne selv at faa sshd paa miracle.mongers.org
til at prompte dig for et password.
--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org
OSS/FAQ for dk.edb.sikkerhed: http://sikkerhed-faq.dk
| |
Stig Johansen (03-10-2004)
| Kommentar Fra : Stig Johansen |
Dato : 03-10-04 14:28 |
|
Alex Holst wrote:
> Stig Johansen wrote:
>> Kan det ikke tænkes, at der er tale om en *nix malware (trojan,zombie..
>> whatever), der kører i userspace, og ukritisk forsøger authentication via
>> user/password?
>
> Jo, men hvordan er det muligt? Min sshd tilbyder slet ikke password
> authentication. Forsoeg gerne selv at faa sshd paa miracle.mongers.org
> til at prompte dig for et password.
Ok, ca. 15:22 dansk sommertid (lettere patched version af ssh):
lwork1:/home/sj/ssh # bin/ssh -v -v -v -l kurt miracle.mongers.org
..... en masse
debug3: authmethod_is_enabled password
debug1: next auth method to try is password
kurt@miracle.mongers.org's password: <<-------- prompt 1
debug3: packet_send2: adding 64 (len 53 padlen 11 extra_pad 64)
debug2: we sent a password packet, wait for reply
debug1: authentications that can continue: publickey
Permission denied, please try again.
kurt@miracle.mongers.org's password: <<-------- prompt 2
debug3: packet_send2: adding 64 (len 53 padlen 11 extra_pad 64)
debug2: we sent a password packet, wait for reply
debug1: authentications that can continue: publickey
Permission denied, please try again.
kurt@miracle.mongers.org's password: <<-------- prompt 3
debug3: packet_send2: adding 64 (len 53 padlen 11 extra_pad 64)
debug2: we sent a password packet, wait for reply
debug1: authentications that can continue: publickey
debug2: we did not send a packet, disable method
debug1: no more auth methods to try
Permission denied (publickey).
debug1: Calling cleanup 0x8066060(0x0)
Du må meget gerne tjekke din log for min IP, og melde tilbage om der logges
illegal user 'kurt'.
--
Med venlig hilsen
Stig Johansen
| |
Alex Holst (03-10-2004)
| Kommentar Fra : Alex Holst |
Dato : 03-10-04 18:43 |
|
Stig Johansen wrote:
> Ok, ca. 15:22 dansk sommertid (lettere patched version af ssh):
> lwork1:/home/sj/ssh # bin/ssh -v -v -v -l kurt miracle.mongers.org
Hvilke aendringer er dette? Jeg kan ikke faa min klient til at opfoere
sig saadan.
> Du må meget gerne tjekke din log for min IP, og melde tilbage om der logges
> illegal user 'kurt'.
sshd[32556]: input_userauth_request: invalid user kurt
sshd[32556]: Failed none for invalid user kurt
sshd[32556]: Failed keyboard-interactive for invalid user kurt
sshd[16239]: Invalid user kurt from 80.164.154.94
sshd[5106]: input_userauth_request: invalid user kurt
sshd[5106]: Failed none for invalid user kurt
sshd[5106]: Failed keyboard-interactive for invalid user kurt
sshd[5106]: Failed password for invalid user kurt
Det samme for brugeren 'wwwrun' som du ogsaa proevede med.
--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org
OSS/FAQ for dk.edb.sikkerhed: http://sikkerhed-faq.dk
| |
Stig Johansen (04-10-2004)
| Kommentar Fra : Stig Johansen |
Dato : 04-10-04 07:37 |
|
Alex Holst wrote:
> Stig Johansen wrote:
>> Ok, ca. 15:22 dansk sommertid (lettere patched version af ssh):
>> lwork1:/home/sj/ssh # bin/ssh -v -v -v -l kurt miracle.mongers.org
>
> Hvilke aendringer er dette? Jeg kan ikke faa min klient til at opfoere
> sig saadan.
Jeg satte den til ukritisk at forsøge password authentication og
rekompilerede.
>
>> Du må meget gerne tjekke din log for min IP, og melde tilbage om der
>> logges illegal user 'kurt'.
>
> sshd[32556]: input_userauth_request: invalid user kurt
> sshd[32556]: Failed none for invalid user kurt
> sshd[32556]: Failed keyboard-interactive for invalid user kurt
>
> sshd[16239]: Invalid user kurt from 80.164.154.94
> sshd[5106]: input_userauth_request: invalid user kurt
> sshd[5106]: Failed none for invalid user kurt
> sshd[5106]: Failed keyboard-interactive for invalid user kurt
> sshd[5106]: Failed password for invalid user kurt
Det er jo reelt nok, da jeg rent faktisk foesøgte med bruger 'kurt'.
Det lede os tilbage til spørsgmålene:
Hvad er det egentlig man har gang i?
Kan det være starten på etablering af et *nix - spam - zombie net?
Er der nogen, der evt. har sat en honeypot op?
> Det samme for brugeren 'wwwrun' som du ogsaa proevede med.
Det må være en smutter - undskyld.
--
Med venlig hilsen
Stig Johansen
| |
Alex Holst (04-10-2004)
| Kommentar Fra : Alex Holst |
Dato : 04-10-04 23:09 |
|
Stig Johansen wrote:
> Alex Holst wrote:
>>Hvilke aendringer er dette? Jeg kan ikke faa min klient til at opfoere
>>sig saadan.
>
> Jeg satte den til ukritisk at forsøge password authentication og
> rekompilerede.
Jeg ville stadigt forvente at sshd afviste password or keyboard
interactive forsoeg naar support for det specifikt var slaaet fra i
configurationen. Er jeg den eneste med den forventning -- eller er jeg
mon den eneste som kun tillader key-based authentication?
Gad vide om din klient kunne logge ind paa miracle ved at angive et
korrekt password. Det ville vaere en ret alvorlig bug i sshd.
Har du en diff jeg kan teste med?
--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org
OSS/FAQ for dk.edb.sikkerhed: http://sikkerhed-faq.dk
| |
Stig Johansen (05-10-2004)
| Kommentar Fra : Stig Johansen |
Dato : 05-10-04 05:00 |
|
Alex Holst wrote:
> Jeg ville stadigt forvente at sshd afviste password or keyboard
> interactive forsoeg naar support for det specifikt var slaaet fra i
> configurationen.
Det håber jeg sandelig den gør.
> Gad vide om din klient kunne logge ind paa miracle ved at angive et
> korrekt password. Det ville vaere en ret alvorlig bug i sshd.
Ditto.
> Har du en diff jeg kan teste med?
Det var en rimelig lille ændring jfr. andet indlæd om preferred i klienten.
Jeg udkommenterede linien:
... /* Use a suitable default if we're passed a nil list. */
/* if (authlist == NULL || strlen(authlist) == 0) */ <<<------- her
authlist = options.preferred_authentications;
....
så authlist ukritisk bliver sat til preferred, og ikke hvad serveren svarer.
Hvsi du ikke vil 'svine' din klient til, og det er en x86, ligger der en
kopi af ssh'en her:
< http://80.164.154.94/ssh/ssh>
den er lavet med:
../configure --prefix=/home/sj/ssh --sysconfdir=/home/sj/ssh
--
Med venlig hilsen
Stig Johansen
| |
Stig Johansen (05-10-2004)
| Kommentar Fra : Stig Johansen |
Dato : 05-10-04 06:41 |
|
Alex Holst wrote:
> Jeg ville stadigt forvente at sshd afviste password or keyboard
> interactive forsoeg naar support for det specifikt var slaaet fra i
> configurationen.
Jeg fik lige tid til at afprøve det. Her afviste[1] den heldigvis forsøgene.
[1] Men loggede det stadig som 'Failed password..'
--
Med venlig hilsen
Stig Johansen
| |
Alex Holst (03-10-2004)
| Kommentar Fra : Alex Holst |
Dato : 03-10-04 11:09 |
|
Stig Johansen wrote:
>>Hvorfor tror min sshd at bruteforcerne har forsoegt at logge ind med
>>password?
>
> Det er ikke sikkert den toro det.
Hvordan forklarer du ellers at sshd skriver "Failed password from
invalid user foo" i loggen?
--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org
OSS/FAQ for dk.edb.sikkerhed: http://sikkerhed-faq.dk
| |
|
|