Re: [HS] Attaque dictionnai re distribuée sur serveur ssh.
Le Sunday 30 Nov 2008 � 13:24:57 (+0100), Franck Joncourt a �crit : > > Peut-etre mais où ??? > > J'ai évité de poster des liens cette fois-ci car je l'avais déjà > mentionné sur la liste mais je n'avais jamais eu de retour. Des fois, il y a des lecteurs qui ne r�pondent pas � tous les messages qu'ils lisent !! ;-) Merci pour ton lien. Fanfan -- Cinquante ans, �ge o� vivent bien des r�ves, �ge qui est encore, sinon la fleur de l'�ge, l'�ge des fleurs. [J-Donat Dufour] signature.asc Description: Digital signature
Re: [HS] Attaque dictionnai re distribuée sur serveur ssh.
Ça y est, j'ai trouvé ce que je cherchais: http://packages.debian.org/lenny/denyhosts http://denyhosts.sourceforge.net/ C'est une liste noire qui semble tout à fait indiquée. On voit d'ailleurs le pic d'attaque ayant commencé la semaine dernière sur leur page de statistiques : http://stats.denyhosts.net/stats.html Amicalement, -- Charles Plessy Tsurumi, Kanagawa, Japan -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: [HS] Attaque dictionnai re distribuée sur serveur ssh.
Le Sat, Nov 29, 2008 at 08:27:01AM +0100, François Boisson a écrit : > > Sans vouloir te décourager, ça dure chez moi depuis le 23 Novembre, ça a > commencé avec des logins commençant par «aadi», là j'en suis à «edwina». Oh, nous avons affaire aux mêmes alors : j'en suis en ce moment à « edythe » :) > le seul souci est que je m'habitue chaque matin à avoir dans le rapport des > tas de bazars et je risque de passer à coté d'autre chose. Exactement ! Bonne journée, -- Charles Plessy Tsurumi, Kanagawa, Japan -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: [HS] Attaque dictionnai re distribuée sur serveur ssh.
Le Sat, Nov 29, 2008 at 08:08:19AM +0100, Francois Mescam a écrit : > Je connais deux outils pour limiter les tentatives : > > - fail2ban : qui bloque pour une certaine durée une adresse IP suite à 5 > (c'est paramétrable) tentatives infructueuses dans un temps maxi donné > > - knockd : qui permet d'ouvrir un port pour une IP donnée suite à une > séquence prédéterminée de tentatives sur différents ports Bonjour François, fail2ban ne fonctionnera pas puisque chaque IP n'est utilisée qu'une fois. Je pense que l'attaque est piloté depuis un de ces réseaux de zombies (« botnets »), où un maître, qui est certainement la machine parcourant le dictionnaire, coordonne une nuée de machines-esclaves. Je pense qu'au final je vais soit bouger le port soit utiliser knockd. Merci pour la suggestion, -- Charles -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: [HS] Attaque dictionnai re distribuée sur serveur ssh.
Le Sat, Nov 29, 2008 at 05:32:31AM +0100, Thierry Chatelet a écrit : > > openssh-blacklist Ce paquet contient la liste noire des clés OpenSSH très vulnérables – voir http://www.debian.org/security/key-rollover/ – qui ont été accidentellement générées par des systèmes Debian défectueux. Il permet aux administrateurs: - De refuser les connections avec ces clés, car il n'est pas possible de certifier que c'est bien leur propriétaire légitime qui les utilise. - De vérifier que les utilisateurs de leur machine ne sont pas en possession de telles clés. Par contre ce paquet – maintenant installé par défaut sur tous les systèmes Debian – n'empêche pas les connections en fonction de leur adresse IP, ni ne détecte les attaques à grands coups de dictionnaires d'identifiants et de mots de passe. Bonne journée, -- Charles Plessy Tsurumi, Kanagawa, Japan -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]