Logging 奇怪的openssh服务器登录/var/log/auth.log

我在日志文件中发现了一个非常奇怪的条目

Jan 29 01:35:30 vs-proj-handy sshd[5316]: Received disconnect from 130.207.203.56: 11: These aren't the droids we're looking for. [preauth] 

我猜“这些不是我们要找的机器人”这句话是什么意思？但如果是的话，我该如何复制它呢？我找不到opensshd存储其标准断开连接字符串的任何地方

---

那么这条退出消息是标准消息吗？如果不是，我如何复制它？

要直接回答您的问题，该消息来自客户端。服务器只是记录客户端在断开连接之前发送的任何消息

今天早上，我的日志文件中也有同样的信息。这个IP地址属于乔治亚理工大学。在我的服务器上，他们没有试图登录或做任何恶意的事情。他们只是连接，然后断开连接，留下了这条信息

---

我要冒险说，可能是乔治亚理工学院的一些学生用libssh2示例中的代码来取笑。请参阅，搜索“正常关机，感谢您播放”以查看可以轻松插入自定义断开连接消息的位置。

在日志中看到其中5条消息后，我向GA Tech滥用地址发送了一条通知。我很快得到答复：

这项活动是乔治亚理工学院正在进行的研究项目的一部分

---

我很惊讶他们定制的断开连接消息没有提供有关研究项目的信息。

我今天收到了同样的消息，也是来自乔治亚理工学院的IP地址。为什么这些不是我们要找的机器人？