Le Mon, 17 Oct 2005 22:56:16 +0200 Jody <[EMAIL PROTECTED]> a écrit:
> Bonjour, > > J'ai dans mon auth.log une liste de tentatives de connection à un > serveur ssh, une par seconde. > > L'adresse ip provient d'un FAI français (d'aprés le résultat de whois) > > Impressionnant le nombre d'identifiants utilisateurs testés en quelques > temps. > > Que puis-je, que dois je faire de ces journaux ? [EMAIL PROTECTED]:~$ grep -c " Failed password" /var/log/auth.log 650 [EMAIL PROTECTED]:~$ grep -c " Failed password" /var/log/auth.log.0 2263 [EMAIL PROTECTED]:~$ grep " Failed password" /var/log/auth.log.0 \ | awk '{print $11}' |uniq | grep -c "" 20 [EMAIL PROTECTED]:~$ grep " Failed password" /var/log/auth.log | awk '{print $11}' |uniq | grep -c "" 16 [EMAIL PROTECTED]:~$ En clair chez moi, un 20 de gus par semaine essaye d'entrer sur la machine avec en gros une cantaine d'essais à chaque fois. En gros 10% ont un programme de test suffisament complet pour que 95% de mes comptes soient testés. Les adressses IP sur la dernière semaine sont les suivantes: 147.46.132.237 158.42.204.26 202.141.1.21 202.194.3.67 210.51.189.186 218.153.147.92 220.133.80.16 59.120.58.248 65.66.145.145 66.221.74.212 66.90.73.235 82.33.118.31 83.17.58.154 Bref, du très banal. Tu peux toujours envoyer au FAI mais ça sera confié à l'inspecteur Aupanier... François Boisson -- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]