OVH Community, votre nouvel espace communautaire.

Message bizarre : vpsxxxx PAM service(sshd) ignoring max retries; 6 > 3


fritz2cat
18/09/2014, 17h25
non, on a tous des listes de ce genre.

Wifix
18/09/2014, 11h23
Installé à l'instant et oh! déjà une liste de 9 bans... (est-ce utile que je la donne ici?)

bbr18
15/09/2014, 15h33
la solution : installer et configurer fail2ban

PenDen
15/09/2014, 13h01
Oui, moi aussi j'avais le même problème..
J'ai examiné les log d'authentification ( /var/log/auth.log ) et j'ai réalisé que quelqu'un essai de s'authentifier par force brute:

Sep 14 17:10:30 vpsXXX sshd[XX]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=191.237.128.154 user=uucp
Sep 14 17:10:32 vpsXXX sshdXX]: Failed password for uucp from 191.237.128.154 port XX ssh2


La solution la plus facile était de bloquer cette adresse IP:

iptables -A INPUT -s 191.237.128.154 -j DROP


et ça a marché parfaitement

Wifix
08/08/2014, 11h49
Bonjour,

J'ai le même soucis de message dernièrement...

Après examen des log auth.log, je me suis rendus compte que les échecs proviennent de deux ip que je ne connais pas...

211.103.125.xxx et 113.108.179.xxx

Une idée?

haystack
06/06/2014, 09h46
Bonjour,

Je tenais à signaler que je recevais les mêmes messages aussi dans le bash. Je n'ai rien installé récemment. Ce n'est pas gênant pour l'utilisation du vps. Pensez-vous qu'il s'agîsse d'attaques ?
J'ai fait pointer un nom de domaine sur l'adresse IP du vps.

Cordialement.

shirokoweb
15/02/2014, 16h35
Bonsoir, si je ne me trompe pas messagebus est l'utilisateur créé exclusivement pour utiliser dbus-daemon.
Il est donc tout à fait normal de trouver cet utilisateur qui est ajouté automatiquement :

Feb 15 03:41:08 vpsXXX useradd[11282]: new user: name=messagebus, UID=103, GID=106, home=/var/run/dbus, shell=/bin/false
Il est possible que l'aliasse ~ ne fonctionne pas depuis l'emplacement d'où vous voulez l'exécuter.
vous pouvez soit utiliser source soit . [point]
Code:
. /home//.bashrc

gramstram
15/02/2014, 14h32
Bonjour,

merci d'avoir pris le temps de répondre.

J'ai commencé à avoir ces messages 30 à 40 secondes après m'être connecté en ssh. Autrement dit je n'avais pas eu le temps de configurer quoique ce soit.

En général, la première chose que je fais est de décommenter les alias du ls dans le fichier .bashrc du répertoire utilisateur puis de faire un apt-get update/upgrade et j'ai eu du mal à saisir les commandes parce les messages s'affichaient et interrompaient la saisie. Exemple :

pour source ~/.bashrc, la saisie s'interrompait à la lettre R ou C (de source) pour afficher le message :
Code:
sour2014 Feb 15 02:41:50 vpsXXX PAM service(sshd) ignoring max retries; 6 > 3
Est-ce 'normal' d'avoir une processus/utilisateur messagebus ?

Voici un extrait de auth.log :

Code:
Feb 15 02:30:14 vps sshd[1466]: Server listening on 0.0.0.0 port 22.
Feb 15 02:30:14 vps sshd[1466]: Server listening on :: port 22.
Feb 15 02:30:14 vps CRON[1534]: pam_unix(cron:session): session opened for user root by (uid=0)
Feb 15 02:30:14 vps CRON[1534]: pam_unix(cron:session): session closed for user root
Feb 15 02:30:35 vps chpasswd[1603]: pam_unix(chpasswd:chauthtok): password changed for root
Feb 15 02:31:02 vpsXXX sshd[1466]: Server listening on 0.0.0.0 port 22.
Feb 15 02:31:02 vpsXXX sshd[1466]: Server listening on :: port 22.
Feb 15 02:31:15 vpsXXX sshd[1560]: Did not receive identification string from 213.186.33.62
Feb 15 02:31:17 vpsXXX sshd[1561]: Accepted publickey for root from 213.186.33.62 port 50129 ssh2
Feb 15 02:31:17 vpsXXX sshd[1561]: pam_unix(sshd:session): session opened for user root by (uid=0)
Feb 15 02:31:18 vpsXXX sshd[1561]: Received disconnect from 213.186.33.62: 11: disconnected by user
Feb 15 02:31:18 vpsXXX sshd[1561]: pam_unix(sshd:session): session closed for user root
Feb 15 02:31:18 vpsXXX sshd[1565]: Accepted publickey for root from 213.186.33.62 port 50187 ssh2
Feb 15 02:31:18 vpsXXX sshd[1565]: pam_unix(sshd:session): session opened for user root by (uid=0)
Feb 15 02:31:18 vpsXXX sshd[1565]: Received disconnect from 213.186.33.62: 11: disconnected by user
Feb 15 02:31:18 vpsXXX sshd[1565]: pam_unix(sshd:session): session closed for user root
Feb 15 02:35:08 vpsXXX sshd[1569]: Did not receive identification string from 37.187.65.250
Feb 15 02:38:04 vpsXXX sshd[1570]: Accepted password for root from 82.225.214.147 port 53340 ssh2
Feb 15 02:38:04 vpsXXX sshd[1570]: pam_unix(sshd:session): session opened for user root by (uid=0)
Feb 15 02:41:19 vpsXXX sshd[3147]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=61.160.215.104  user=root
Feb 15 02:41:21 vpsXXX sshd[3147]: Failed password for root from 61.160.215.104 port 2514 ssh2
Feb 15 02:41:23 vpsXXX sshd[3147]: Failed password for root from 61.160.215.104 port 2514 ssh2
Feb 15 02:41:26 vpsXXX sshd[3147]: Failed password for root from 61.160.215.104 port 2514 ssh2
Feb 15 02:41:29 vpsXXX sshd[3147]: Failed password for root from 61.160.215.104 port 2514 ssh2
Feb 15 02:41:31 vpsXXX sshd[3147]: Failed password for root from 61.160.215.104 port 2514 ssh2
Feb 15 02:41:33 vpsXXX sshd[3147]: Failed password for root from 61.160.215.104 port 2514 ssh2
Feb 15 02:41:33 vpsXXX sshd[3147]: Disconnecting: Too many authentication failures for root [preauth]
Feb 15 02:41:33 vpsXXX sshd[3147]: PAM 5 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=61.160.215.104  user=root
Feb 15 02:41:33 vpsXXX sshd[3147]: PAM service(sshd) ignoring max retries; 6 > 3
Feb 15 02:41:35 vpsXXX sshd[3149]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=61.160.215.104  user=root
Feb 15 02:41:38 vpsXXX sshd[3149]: Failed password for root from 61.160.215.104 port 3229 ssh2
Feb 15 02:41:40 vpsXXX sshd[3149]: Failed password for root from 61.160.215.104 port 3229 ssh2
Feb 15 02:41:43 vpsXXX sshd[3149]: Failed password for root from 61.160.215.104 port 3229 ssh2
Feb 15 02:41:45 vpsXXX sshd[3149]: Failed password for root from 61.160.215.104 port 3229 ssh2
Feb 15 02:41:47 vpsXXX sshd[3149]: Failed password for root from 61.160.215.104 port 3229 ssh2
Feb 15 02:41:50 vpsXXX sshd[3149]: Failed password for root from 61.160.215.104 port 3229 ssh2
Feb 15 02:41:50 vpsXXX sshd[3149]: Disconnecting: Too many authentication failures for root [preauth]
Feb 15 02:41:50 vpsXXX sshd[3149]: PAM 5 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=61.160.215.104  user=root
Feb 15 02:41:50 vpsXXX sshd[3149]: PAM service(sshd) ignoring max retries; 6 > 3
Feb 15 02:41:52 vpsXXX sshd[3151]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=61.160.215.104  user=root
Feb 15 02:41:54 vpsXXX sshd[3151]: Failed password for root from 61.160.215.104 port 4394 ssh2
Feb 15 02:41:56 vpsXXX sshd[3151]: Failed password for root from 61.160.215.104 port 4394 ssh2
Feb 15 02:41:58 vpsXXX sshd[3151]: Failed password for root from 61.160.215.104 port 4394 ssh2
Feb 15 02:42:01 vpsXXX sshd[3151]: Failed password for root from 61.160.215.104 port 4394 ssh2
Feb 15 02:42:04 vpsXXX sshd[3151]: Failed password for root from 61.160.215.104 port 4394 ssh2
Feb 15 02:42:06 vpsXXX sshd[3151]: Failed password for root from 61.160.215.104 port 4394 ssh2
Feb 15 02:42:06 vpsXXX sshd[3151]: Disconnecting: Too many authentication failures for root [preauth]
Feb 15 02:42:06 vpsXXX sshd[3151]: PAM 5 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=61.160.215.104  user=root
Feb 15 02:42:06 vpsXXX sshd[3151]: PAM service(sshd) ignoring max retries; 6 > 3
Feb 15 02:42:08 vpsXXX sshd[3154]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=61.160.215.104  user=root
Feb 15 02:42:10 vpsXXX sshd[3154]: Failed password for root from 61.160.215.104 port 1371 ssh2
Feb 15 02:42:13 vpsXXX sshd[3154]: Failed password for root from 61.160.215.104 port 1371 ssh2
Feb 15 02:42:16 vpsXXX sshd[3154]: Failed password for root from 61.160.215.104 port 1371 ssh2
Feb 15 02:42:17 vpsXXX sshd[3154]: Failed password for root from 61.160.215.104 port 1371 ssh2
Feb 15 02:42:20 vpsXXX sshd[3154]: Failed password for root from 61.160.215.104 port 1371 ssh2
Feb 15 02:42:22 vpsXXX sshd[3154]: Failed password for root from 61.160.215.104 port 1371 ssh2
Feb 15 02:42:22 vpsXXX sshd[3154]: Disconnecting: Too many authentication failures for root [preauth]
[...]
Feb 15 02:43:37 vpsXXX sshd[3165]: PAM 5 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=61.160.215.104  user=root
Feb 15 02:43:37 vpsXXX sshd[3165]: PAM service(sshd) ignoring max retries; 6 > 3
Feb 15 02:43:39 vpsXXX sshd[3167]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=61.160.215.104  user=root
Feb 15 02:43:41 vpsXXX sshd[3167]: Failed password for root from 61.160.215.104 port 3121 ssh2
Feb 15 02:43:44 vpsXXX sshd[3167]: Failed password for root from 61.160.215.104 port 3121 ssh2
Feb 15 02:43:45 vpsXXX sshd[3167]: Failed password for root from 61.160.215.104 port 3121 ssh2
Feb 15 02:43:45 vpsXXX sshd[3167]: fatal: Read from socket failed: Connection reset by peer [preauth]
Feb 15 02:43:45 vpsXXX sshd[3167]: PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=61.160.215.104  user=root
[...]
Feb 15 03:41:08 vpsXXX groupadd[11278]: group added to /etc/group: name=messagebus, GID=106
Feb 15 03:41:08 vpsXXX groupadd[11278]: group added to /etc/gshadow: name=messagebus
Feb 15 03:41:08 vpsXXX groupadd[11278]: new group: name=messagebus, GID=106
Feb 15 03:41:08 vpsXXX useradd[11282]: new user: name=messagebus, UID=103, GID=106, home=/var/run/dbus, shell=/bin/false
Feb 15 03:41:08 vpsXXX usermod[11287]: change user 'messagebus' password
Feb 15 03:41:08 vpsXXX chage[11292]: changed password expiry for messagebus
Feb 15 03:55:01 vpsXXX CRON[13417]: pam_unix(cron:session): session opened for user root by (uid=0)
Feb 15 03:55:01 vpsXXX CRON[13417]: pam_unix(cron:session): session closed for user root

shirokoweb
15/02/2014, 09h26
Bonjour,

Qu'avez-vous tenté d'installer ? Ce que je trouve étrange, c'est que vous devriez voir ces messages non pas dans le prompt mais dans un fichier log (à moins que vous n'ayez pas créé de fichier de log et que vous aillez spécifié des outputs console lors de phase de test ?)

PAM, login.defs et sshd essaient tous de bloquer successivement toutes tentatives.
2014 Feb 15 02:41:50 vpsXXX PAM service (sshd) ignoring max retries; 6 > 3
Ce message indique qu'il y a 3 tentatives "retry=3" dans l'un de ses modules (probablement /etc/pam.d/password-auth) et qu'il ignorera toute authentification suivante par sshd durant cette même session.
sshd va renteter des authentifications jusqu'à ce qu'il épuise les maximum de tentatives autorisées "MaxAuthTries" qui semble être configuré à 6 avant de mettre fin à la connexion :
2014 Feb 15 02:41:51 vpsXXX fatal: Read from socket failed: Connection reset by peer [preauth]
Je présume que vous avez installé fail2ban, si tel est le cas, qu'avez-vous dans les fichiers log ?
Il serait intéressant de jeter un coup d'oeil dans /var/log/auth.log également

Cdt

gramstram
15/02/2014, 01h50
Bonsoir,

J'ai une question concernant un phénomène bizarre que je n'ai jamais rencontré jusque là.

Je viens de commander un vps debian, je me suis connecté en ssh (root) pour faire les maj et sécuriser un peu l'ensemble mais j'ai ces messages qui s'impriment de façon totalement aléatoire et soudaine sur le prompt :

Code:
2014 Feb 15 02:41:50 vpsXXX PAM service(sshd) ignoring max retries; 6 > 3
2014 Feb 15 02:41:50 vpsXXX PAM service(sshd) ignoring max retries; 6 > 3
2014 Feb 15 02:41:50 vpsXXX PAM service(sshd) ignoring max retries; 6 > 3
2014 Feb 15 02:41:51 vpsXXX fatal: Read from socket failed: Connection reset by peer [preauth]
Ça signifie que quelqu'un tente de se connecter ?

Merci pour vos suggestions/idées