¿Qué significa "apagado normal, gracias por jugar [preauth]" en los registros SSH?

Recientemente, Mis resúmenes de registro de SSH para mis servidores Ubuntu 12.04 en Logwatch han comenzado a mostrar entradas para "11: apagado normal, gracias por jugar [preauth]" junto con "11: Bye Bye [preauth]" y "11: desconectado por mensajes de usuario "que habían estado mostrando anteriormente.

No he visto este mensaje en mis registros antes de las últimas semanas, ni lo he visto en mis servidores más antiguos que están atascados en Ubuntu 10.04. He buscado en Google este mensaje y tampoco puedo encontrar explicaciones claras allí.

Las IP que intentan iniciar sesión y reciben este mensaje son intentos aleatorios de pirateo, y a juzgar por la autorización previa, supongo (espero) que no tengan éxito, pero me gustaría saber exactamente qué significa este mensaje y en qué se diferencia de otros para estar seguro.

EDITAR para obtener información adicional: mis servidores tienen autenticación de contraseña y autenticación de raíz deshabilitadas

Cuando el cliente ssh realiza un apagado de conexión "normal", envía un paquete con un mensaje. Cuando el demonio ssh obtiene dicho paquete cuando no lo espera, en este caso, antes de que el usuario haya logrado autenticarse, registra el mensaje. (Las versiones anteriores de OpenSSH no hacían esto). Por lo tanto, su conjetura es exactamente correcta: es un efecto secundario de un ataque de fuerza bruta ssh que adivina la contraseña. Probablemente deberías estar ejecutando algo como fail2ban o sshguard para bloquearlos en iptables; incluso si crees que todo está configurado correctamente para no permitir contraseñas, es bueno tener una segunda capa de defensa.

La respuesta aceptada es correcta, pero pensé en publicar esta respuesta para complementarla con una razón para el cambio explicando por qué los administradores no vieron previamente tales mensajes en sus archivos de registro.

Este problema se discutió en la lista de desarrolladores de OpenSSH en enero de 2014. Según Damien Miller, desarrollador de OpenSSH ,

El mensaje ha estado allí básicamente para siempre:

1.41 (markus 02-ene-01): log ("Desconexión recibida de% s:% d:% .400s", ...

Lo único que ha cambiado recientemente es que hemos mejorado el registro de los mensajes de autenticación previa en modo privado en la versión 5.9 para que ya no necesitemos un /dev/logchroot privado. Si su versión anterior de OpenSSH era <5.9 y el /var/emptychroot no tenía contenido /dev/log, es posible que le hayan faltado estos mensajes.

También he notado estos mensajes en mis archivos de registro desde que actualicé recientemente el paquete open-ssh en mis servidores.

Sin embargo, no creo que los mensajes impliquen necesariamente intentos de pirateo. Algunas de las frases están codificadas en clientes ssh legítimos, presumiblemente como restos del código de desarrollo original. Mi cliente ssh de iOS (iSSH), por ejemplo, emite esta frase cuando me desconecto de mis propios servidores.