Cyprien Le Pannérer a écrit :
Le vendredi 16 janvier 2009 à 00:46 +0100, Alain Vaugham a écrit :
Bonsoir la liste,
J'ai installé une Ubuntu à 250 bornes de chez moi.
J'y accède par ssh pour administrer et vncviewer pour montrer comment ça
marche.
J'ai trouvé ça dans le /var/log/auth.log :
[couic]
Jan 13 09:12:27 mach12 sshd[5882]: pam_unix(sshd:auth): authentication
failure; logname= uid=0 euid=0 tty=ssh ruser=
rhost=server.treasureproductions.com
Jan 13 09:12:29 mach12 sshd[5882]: Failed password for invalid user ean from
202.136.23.128 port 51946 ssh2
Jan 13 09:12:39 mach12 sshd[5884]: Failed none for invalid user ean from
202.136.23.128 port 52026 ssh2
Jan 13 09:12:48 mach12 sshd[5886]: pam_unix(sshd:auth): authentication
failure; logname= uid=0 euid=0 tty=ssh ruser=
rhost=server.treasureproductions.com
Jan 13 09:12:50 mach12 sshd[5886]: Failed password for invalid user eara from
202.136.23.128 port 52080 ssh2
Jan 13 09:13:00 mach12 sshd[5888]: pam_unix(sshd:auth): authentication
failure; logname= uid=0 euid=0 tty=ssh ruser=
rhost=server.treasureproductions.com
Jan 13 09:13:02 mach12 sshd[5888]: Failed password for invalid user eara from
202.136.23.128 port 32793 ssh2
[couic]
et à la même fréquence ça continue sur différents ports avec :
earl
earlene
early
ernest
easter
eavan
etc...
Qu'en pensez-vous?
_________________________________
Linux mailing list
[email protected]
http://lists.parinux.org/mailman/listinfo/linux
Bonjour,
Pour ce genre de problème de brute force (hélas très très courant), je
te conseil fail2ban (ds debian et ubuntu certainement ds les autres
également ). Cet utilitaire lit les logs et ban les ips correspondants a
des regles pour un certain temps. Je l'utilise sur ssh,pop,imap, smtp,
apache (pour les recherches de vulnérabilités). Une fois correctement
parametré, ça marche super bien : ça permet d'alléger les logs.
ça n'empeche pas de rajouter une authentification par clef également.
Bonjour,
Il y a aussi une autre solution avec iptables, bloquer dynamiquement
une adresse source pendant un certain temps après X tentatives
infructueuse de logging avec ssh.
En pièce jointe le fichier à donner à iptables-restore, il faut ensuite
faire en sorte de le lancer au démarrage du système.
PS
Pour IPv6 cela ne fonctionne pas, il n'y a pas encore de module
recent pour IPv6.
Mais il est a noter, notamment sur free que que le protocole est
utilisé, donc les attaque sur ssh peuvent continuer via IPv6
--
Marcolino PIRES
Septidi 27 Nivôse an CCXVII de la République.
Jour du Plomb.
# Generated by iptables-save v1.3.6 on Mon Oct 20 17:17:11 2008
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:SSHSCAN - [0:0]
-A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -j SSHSCAN
#Nouvelle connexion ssh ie port 22 on va sans la regle SSHSCAN
-A SSHSCAN -m recent --set --name SSH --rsource
# On retient l'adresse source qui fait du ssh
-A SSHSCAN -m recent --update --seconds 60 --hitcount 3 --name SSH --rsource -j
LOG --log-prefix "SSH SCAN blocked: --rsource" --log-level 6
# Si plus de 3 tentatives ssh en 60 secondes on log et la regle suivant drop
paquet, apres 60 secondes access de nouveau possible ;-)
-A SSHSCAN -m recent --update --seconds 60 --hitcount 3 --name SSH --rsource -j
DROP
COMMIT
# Completed on Mon Oct 20 17:17:11 2008
_________________________________
Linux mailing list
[email protected]
http://lists.parinux.org/mailman/listinfo/linux
