Le Sat, 29 Nov 2008 13:22:55 +0900 Charles Plessy <[EMAIL PROTECTED]> a écrit:
> Bonjour tout le monde, > > ça fait quelques jours qu'on est en train de tester un dictionnaire sur mon > serveur ssh, mais avec une adresse IP différente par mot. C'est très énervant > car j'utilise logcheck, qui m'envoie des tonnes de notifications du genre > suivant : > > Nov 29 12:12:14 kunpuu sshd[13789]: pam_unix(sshd:auth): authentication > failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=75.24.138.85 Nov 29 > 12:12:17 kunpuu sshd[13787]: error: PAM: User not known to the underlying > authentication module for illegal user earl from 75.24.138.85 Nov 29 > 12:14:26 kunpuu sshd[13792]: pam_unix(sshd:auth): check pass; user unknown > Nov 29 12:14:26 kunpuu sshd[13792]: pam_unix(sshd:auth): authentication > failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=218.108.238.140 Nov 29 > 12:14:28 kunpuu sshd[13790]: error: PAM: User not known to the underlying > authentication module for illegal user earlene from 218.108.238.140 > > Quelqu'un connaît-t-il une bonne méthode pour se débarasser de ces tentatives > de connextion (hormis le déplacement du port 22 à une autre adresse ?) Par > exemple, existe-t-il des listes noires ? Sans vouloir te décourager, ça dure chez moi depuis le 23 Novembre, ça a commencé avec des logins commençant par «aadi», là j'en suis à «edwina», le tout avec un rythme pas extraordinaire mais régulier et des logs qui explosent donc. Les machines tournent, en vrac, des IPS concernées 121.138.216.194 189.43.21.244 189-47-199-6.dsl.telesp.net.br 200141223099.user.veloxzone.com.br 200.248.82.130 200.29.137.117 200.93.147.114 201.161.28.9 203.70.179.113 211.154.254.120 211.35.142.37 213.136.105.130 218.108.238.140 220.199.6.2 61.172.200.198 61.47.31.130 65.203.231.41 81-208-90-63.ip.fastwebnet.it 88-199-28-3.tktelekom.pl 89-96-172-100.ip13.fastwebnet.it 91-64-130-61-dynip.superkabel.de adsl-75-24-138-85.dsl.chcgil.sbcglobal.net bno-84-242-66-10.karneval.cz c90678d3.static.spo.virtua.com.br dum11.internetdsl.tpnet.pl host226-252-static.39-85-b.business.telecomitalia.it host81-149-101-27.in-addr.btopenworld.com robert71.lnk.telstra.net static-adsl200-75-83-104.epm.net.co mais aussi 10.230.102-84.rev.gaoland.net 115.41.148.16 116.39.30.124 120.red-80-59-254.staticip.rima-tde.net 121.138.216.194 121.33.199.37 121.33.199.39 121.33.199.40 130.red-80-37-213.staticip.rima-tde.net 154.red-80-35-196.staticip.rima-tde.net 161.red-217-126-90.staticip.rima-tde.net 169.red-80-32-193.staticip.rima-tde.net 170.56.255.20 179.26-246-81.adsl-static.isp.belgacom.be 188-120-207-85.vychcechy.adsl-llu.static.bluetone.cz 189.16.248.251 189.17.23.210 189.43.21.244 189-47-199-6.dsl.telesp.net.br 189-54-102-228-nd.cpe.vivax.com.br 190.144.61.58 190.34.148.178 190.34.164.139 193.224.93.3 193.41.235.225 193.86.111.6 194.224.118.61 .... Bref un robot sur des milliers de machines qui scannent des milliers de machines en même temps. Qu'ils fassent joujou, le seul souci est que je m'habitue chaque matin à avoir dans le rapport des tas de bazars et je risque de passer à coté d'autre chose. François Boisson -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
