Le Mon, 17 Oct 2005 22:56:16 +0200
Jody <[EMAIL PROTECTED]> a écrit:
> Bonjour,
>
> J'ai dans mon auth.log une liste de tentatives de connection à un
> serveur ssh, une par seconde.
>
> L'adresse ip provient d'un FAI français (d'aprés le résultat de whois)
>
> Impressionnant le nombre d'identifiants utilisateurs testés en quelques
> temps.
>
> Que puis-je, que dois je faire de ces journaux ?
[EMAIL PROTECTED]:~$ grep -c " Failed password" /var/log/auth.log
650
[EMAIL PROTECTED]:~$ grep -c " Failed password" /var/log/auth.log.0
2263
[EMAIL PROTECTED]:~$ grep " Failed password" /var/log/auth.log.0 \
| awk '{print $11}' |uniq | grep -c ""
20
[EMAIL PROTECTED]:~$ grep " Failed password" /var/log/auth.log
| awk '{print $11}' |uniq | grep -c ""
16
[EMAIL PROTECTED]:~$
En clair chez moi, un 20 de gus par semaine essaye d'entrer sur la
machine avec en gros une cantaine d'essais à chaque fois. En gros 10%
ont un programme de test suffisament complet pour que 95% de mes comptes
soient testés. Les adressses IP sur la dernière semaine sont les
suivantes:
147.46.132.237
158.42.204.26
202.141.1.21
202.194.3.67
210.51.189.186
218.153.147.92
220.133.80.16
59.120.58.248
65.66.145.145
66.221.74.212
66.90.73.235
82.33.118.31
83.17.58.154
Bref, du très banal. Tu peux toujours envoyer au FAI mais ça sera
confié à l'inspecteur Aupanier...
François Boisson
--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
