Re: [HS] Possible attaque SSH
Bonjour De mon expérience avec fail2banet ssh, dans une situation similaire (NAT derrière une box) les IP des attaquants sont celles venant de l'extérieur. Donc si dans les logs les ip appartiennent au réseau local, c'est que l'attaquant s'y trouve, ou bien utilise une machine locale pour effectuer ses attaques. Idem que précédemment, fail2ban enregistre de nombreuses attaques par heure en permanence. Le mar. 22 févr. 2022 à 12:29, Belaïd a écrit : > Bonjour, > > C'est possible que ça vienne de l'extérieur (a l'époque ca pouvait être > une attaque par IP spoofing/paquet martien). Mais ça ne ce fait plus trop > de nos jours , les routeurs/firewall savent gérer cela > > Le mar. 22 févr. 2022 à 11:50, Sil a écrit : > >> Le 22/02/2022 à 09:27, Sil a écrit : >> > /var/log/auth.log.2.gz:Feb 7 09:34:58 monserveur sshd[]: >> > Disconnected from invalid user Admin 192.168.X.X port [preauth] >> >> Mais est-ce que l'IP du fichier log peut provenir de l’extérieur ? Ou >> est-ce impossible ? >> >> Est-il possible de différencier les connexions nattées de la box et >> celles du réseau local ? >> >> Merci >> >> Sil >> >>
Re: [HS] Possible attaque SSH
Bonjour, C'est possible que ça vienne de l'extérieur (a l'époque ca pouvait être une attaque par IP spoofing/paquet martien). Mais ça ne ce fait plus trop de nos jours , les routeurs/firewall savent gérer cela Le mar. 22 févr. 2022 à 11:50, Sil a écrit : > Le 22/02/2022 à 09:27, Sil a écrit : > > /var/log/auth.log.2.gz:Feb 7 09:34:58 monserveur sshd[]: > > Disconnected from invalid user Admin 192.168.X.X port [preauth] > > Mais est-ce que l'IP du fichier log peut provenir de l’extérieur ? Ou > est-ce impossible ? > > Est-il possible de différencier les connexions nattées de la box et > celles du réseau local ? > > Merci > > Sil > >
Re: [HS] Possible attaque SSH
On Tuesday 22 February 2022 09:27:46 Sil wrote: > Bonjour la liste, > Pourriez-vous m'enlever un doute... sur un réseau local derrière une > box, j'ai des postes w$ DHCP et un serveur Debian stable à jour. Ce > serveur est accessible via SSH sur le réseau local via le port classique > et depuis l’extérieur sur un autre port via le NAT de la box. Seule > l’authentification par clé est autorisée. > J'ai un utilisateur qui s'est plaint d'avoir été banni par Fail2ban. > Après quelques recherches dans les logs, j'ai trouvé plusieurs > tentatives de connexions SSH via des adresses locales. > Un exemple de log : > /var/log/auth.log.2.gz:Feb 7 09:34:58 monserveur sshd[]: > Disconnected from invalid user Admin 192.168.X.X port [preauth] > Est-il possible que l'attaque vienne quand même de l’extérieur ? Ou > faut-il suspecter les postes w$ ? Hello, J'ai un serveur, il ne faut pas trop s'inquiéter du fichier "/var/log/auth.log", ce sont des milliers de tentatives de connexion / jour, sans résultats, (souvent par une méthode automatique) si le serveur possède les outils classiques de protection, failban, firewall, connexions que par clés SSH (publique et privée)... A. Valmer
Re: [HS] Possible attaque SSH
Le 22/02/2022 à 09:27, Sil a écrit : /var/log/auth.log.2.gz:Feb 7 09:34:58 monserveur sshd[]: Disconnected from invalid user Admin 192.168.X.X port [preauth] Mais est-ce que l'IP du fichier log peut provenir de l’extérieur ? Ou est-ce impossible ? Est-il possible de différencier les connexions nattées de la box et celles du réseau local ? Merci Sil
Re: [HS] Possible attaque SSH
Sil a écrit : > Bonjour la liste, > > Pourriez-vous m'enlever un doute... sur un réseau local derrière une > box, j'ai des postes w$ DHCP et un serveur Debian stable à jour. Ce > serveur est accessible via SSH sur le réseau local via le port classique > et depuis l’extérieur sur un autre port via le NAT de la box. Seule > l’authentification par clé est autorisée. > > J'ai un utilisateur qui s'est plaint d'avoir été banni par Fail2ban. > Après quelques recherches dans les logs, j'ai trouvé plusieurs > tentatives de connexions SSH via des adresses locales. > > Un exemple de log : > > /var/log/auth.log.2.gz:Feb 7 09:34:58 monserveur sshd[]: > Disconnected from invalid user Admin 192.168.X.X port [preauth] > > Est-il possible que l'attaque vienne quand même de l’extérieur ? Ou > faut-il suspecter les postes w$ ? > > Par avance merci Bonjour, Par expérience, suspecter les postes Windows. Il y a quinze ans, j'ai râlé avec un client qui laissait ses utilisateurs sur MSN (fallait bien qu'ils s'occupent !) et les machines Windows ont servi de relais à des attaques de l'extérieur malgré un firewall entrant (on m'avait interdit le firewall sortant). Un lundi matin, je me suis fait enguirlander parce que le serveur principal avait été attaqué (mais sans accès root, c'était une machine sparc64). Cordialement, JKB
[HS] Possible attaque SSH
Bonjour la liste, Pourriez-vous m'enlever un doute... sur un réseau local derrière une box, j'ai des postes w$ DHCP et un serveur Debian stable à jour. Ce serveur est accessible via SSH sur le réseau local via le port classique et depuis l’extérieur sur un autre port via le NAT de la box. Seule l’authentification par clé est autorisée. J'ai un utilisateur qui s'est plaint d'avoir été banni par Fail2ban. Après quelques recherches dans les logs, j'ai trouvé plusieurs tentatives de connexions SSH via des adresses locales. Un exemple de log : /var/log/auth.log.2.gz:Feb 7 09:34:58 monserveur sshd[]: Disconnected from invalid user Admin 192.168.X.X port [preauth] Est-il possible que l'attaque vienne quand même de l’extérieur ? Ou faut-il suspecter les postes w$ ? Par avance merci Sil