ssh-server "bad packet length" ???

[dirk11]

Hi Leute,

ich konnte mich gerade für ca. eine halbe Stunde nicht auf meinem Homeserver per ssh anmelden. Egal ob über das entfernte LAN und DSL oder ob über eine Mobilfunk-Verbindung, es ging nicht. Ich habe hinterher in /var/log/auth auf dem homeserver diverse Zeilen mit folgendem gefunden:

Code: Alles auswählen

Apr 29 21:05:35 server sshd[18263]: Bad packet length 2728705828. [preauth]

Hier lokal sah die Fehlermeldung auf der Kommandozeile wie folgt aus:

Code: Alles auswählen

dalfi@client:~$ ssh server@dyndns.org
ssh_exchange_identification: Connection closed by remote host

Hat jemand eine Idee, worauf dieser Fehler basieren könnte? Das merkwürdige daran ist, dass VPN und WWW (port 80) funktionierten, ebenso ein ping auf den homeserver.

[gbotti]

Guten Morgen.

Ich hab vor ner Weile mal etwas von einem rootkit gelesen, was unter anderem die libs der Authentifizierung infiziert. Da stand auch etwas von Login-Fehlern und dass die Login-Daten abgegriffen werden. Eventuell könnte es damit zusammenhängen? Leider fällt mir gerade nicht ein, was für eins das war.

Lass mal zur Sicherheit chkrootkit und rkhunter auf dem System laufen. Vielleicht sogar clamav

- Sind alle Updates eingespielt und sind evtl. automatische Updates aktiviert?
- Ist irgend ein zusätliches Tool wie fail2ban installiert, welches in den Login-Vorgang eingreift?

[dirk11]

Guten Morgen.

Moinmoin!

Ich hab vor ner Weile mal etwas von einem rootkit gelesen, was unter anderem die libs der Authentifizierung infiziert. Da stand auch etwas von Login-Fehlern und dass die Login-Daten abgegriffen werden. Eventuell könnte es damit zusammenhängen?

Das schliesse ich mal gepflegt aus, es sei denn, Debian selbst verteilt rootkits. Und zu einem login-Vorgang, bei dem irgendetwas abgreifbar wäre, kommt es ja gar nicht erst, ich kann ja nichts eingeben, weil der Verbindungsaufbau schon mit dieser Fehlermeldung beendet wird. Mittlerweile funktioniert es auch wieder von überall her problemlos, in der auth.log stehen auch keine "verdächtigen" Sachen - nachstellen ist also nicht. Ich tippe mittlerweile viel eher auf ein DSL-Problem auf der Leitung vom Homeserver.

[Ghost in the Linux Shell]

Hi,

hast du da eine AES Verschlüsselung am laufen ?

nur so....

mfg
sepperl

[dirk11]

Äh, wie meinen?

[Ghost in the Linux Shell]

hi ,

wollte fragen ob du was an aes geändert hast ?

Die Schlüssellänge könnte man z.B. verändern, Auszug aus man sshd_config:

Code: Alles auswählen

 [b]Ciphers[/b]
             Specifies the ciphers allowed for protocol version 2.  Multiple
             ciphers must be comma-separated.  The supported ciphers are:

                   3des-cbc
                   aes128-cbc
                   aes192-cbc
                   aes256-cbc
                   aes128-ctr
                   aes192-ctr
                   aes256-ctr
                   aes128-gcm@openssh.com
                   aes256-gcm@openssh.com
                   arcfour
                   arcfour128
                   arcfour256
                   blowfish-cbc
                   cast128-cbc
                   chacha20-poly1305@openssh.com

             The default is:

                   aes128-ctr,aes192-ctr,aes256-ctr,
                   aes128-gcm@openssh.com,aes256-gcm@openssh.com,
                   chacha20-poly1305@openssh.com

             The list of available ciphers may also be obtained using the -Q
             option of ssh(1).

Wäre nur so eine Idee von mir, was es sein könnte. An der Verschlüsselung kann
man Veränderungen vornehmen, welche die Größe der Schlüssellängen verändern.

Besteht der Fehler bei Standard Konfiguration, dann mal einen Blick in die log Datei werfen was
genau passiert. Es gab da mal einen Bug mit dem AES Modul im Zusammenhang mit Openssh.

Sonst einmal die ~/.ssh/known_hosts Datei mit dem Editor deiner Wahl leeren. Dann beoachten
ob der Fehler wieder kehrt. Bei Verdacht auf den genannten Bug, ein apt-get dist-upgrade.
Der Bug war dieser, AES Modul in Zusammenhang mit Openssh, ergab den genannten Fehler,
darum meine Frage.

mfg
sepperl

[dirk11]

wollte fragen ob du was an aes geändert hast ?

Die Schlüssellänge könnte man z.B. verändern, Auszug aus man sshd_config:

Ja, insofern, dass ich kurze Schlüssel nicht zulasse.

ein apt-get dist-upgrade.

Was genau was bringen soll auf einem Rechner, auf dem sowieso alles aktuell ist?

[Ghost in the Linux Shell]

Ja, insofern, dass ich kurze Schlüssel nicht zulasse.

Es wäre sehr schade zu erklären warum die Schlüssellänge auch etwas Einfluss auf die Paketgröße
welche beim entschlüsseln geprüft wird haben kann, das kann man z.B hier nachlesen, sehen wie die Pakete aufgebaut sind

das machst du schon

mfg
sepperl

[dirk11]

Darum geht es doch gar nicht. Du hast gefragt, ob und wenn ja was geändert wurde, und das ist die Antwort..
Aber der link ist interessant. Entweder habe ich ca. eine halbe Stunde eine ziemlich kaputte Leitung gehabt, Debian-SSH hat einen Fehler oder ich weiss es auch nicht.