Connection closed by 123.33.10.145 [preauth]是否意味着 SSH 连接过程中被 MITM 攻击了？

2018-01-02 18:21:07 +08:00

userlol

偶然会出现这种问题， cat server sshd 日志显示：

 Connection closed by 123.33.10.145 [preauth]

Client 端显示：

 Authentication Failed

是不是有中间人攻击？ sshd 的 grace time 有 120 秒之久，而这个错误最多 15 秒出现，感觉不像是配置错误。真正的 server/client 没有理由关闭连接

另外给 v2 提个建议，如果本次登陆成功，下次能否默认不要求验证码（如果输错密码再要求）？

6180 次点击

所在节点

程序员

8 条回复

sunflyer

2018-01-02 19:29:08 +08:00

这种最多叫有人用脚本在扫你的 SSH 端口吧

jimzhong

2018-01-03 05:21:56 +08:00

123.33.10.145 是你的 client 端 IP 吗？

userlol

2018-01-03 13:53:45 +08:00

@jimzhong 对，是自己的 IP
@sunflyer 是我发起的连接请求，服务器那边却显示是我这边关闭的

sunflyer

2018-01-03 19:48:31 +08:00

@userlol TCP RST 应该也会有这种情况的。

userlol

2018-01-03 20:10:52 +08:00

@sunflyer 但这种情况不应该是 RST 啊，两边都是正常的，除非中间有人做手脚（或者其它网络问题）。</br>
Authentication Failed 这种情况偶尔发生，一旦发生就会持续一段时间。</br>
会和墙有关系吗？中间流量是走国外的。

jimzhong

2018-01-05 05:32:18 +08:00

这样看来是有人伪造 client 的 IP 地址给 server 发了一个 RST，而且这个 RST 的 seqno 在有效范围内。

userlol

2018-01-06 19:05:04 +08:00

@jimzhong 我觉得你说的很有道理我也这么想过，但是我自己设备 c/s 两端都没中病毒，client 从国外发起连接请求到国内 server，两边 ISP 被劫持 /故障的可能性也应该没有啊，ssh 端口号很高(>7000)，gfw 也应该没理由捣乱吧

不知道哪里出了问题，还有个特征，通过一个从没访问过该 server 的 ip 发起 ssh 连接的话，第一次连接必断

jimzhong

2018-01-06 21:30:21 +08:00

@userlol SSH 的特征很明显，不需要端口号也可以区分。

第 1 页／共 1 页

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/419458

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.