Thierry Chatelet a écrit :
Tong dans la mail list en anglais a le même problème. Quelqu' un qui connait
le problème et la langue anglaise pourrait-il l' aider. Nom do post: How can
I stop an active network connection, de Tong, en date du 2-12 à 23h et des
bricolles.
Étonnant que personne n'ai
On Saturday 29 November 2008 05:22:55 Charles Plessy wrote:
Pour partager:
Tong dans la mail list en anglais a le même problème. Quelqu' un qui connait
le problème et la langue anglaise pourrait-il l' aider. Nom do post: How can
I stop an active network connection, de Tong, en date du 2-12 à 23h
Le Tue, 02 Dec 2008 18:43:52 +0100
Daniel Caillibaud <[EMAIL PROTECTED]> a écrit:
> François Boisson a écrit :
> > sed -e '1,$s/^.*[ |\.]\([^\.]*\.[^\.]*\)$/\1/g' /tmp/SSH_douteux | sort -u
> > | grep "[a-z]" > /tmp/domainesFAI
>
> je comprends que tu prends les deux dernières sous-chaînes du fqd
François Boisson a écrit :
Moi c'est assez primaire:
Script général
J'ai adapté à mes logs, du genre
Dec 1 03:56:47 h5 sshd[1154]: Failed password for root from 93.62.0.122 port
10058 ssh2
Dec 2 14:22:01 h5 sshd[14234]: Failed password for invalid user nicoara from
80.87.64.115 port 60029
François Boisson a écrit :
sed -e '1,$s/^.*[ |\.]\([^\.]*\.[^\.]*\)$/\1/g' /tmp/SSH_douteux | sort -u | grep
"[a-z]" > /tmp/domainesFAI
je comprends que tu prends les deux dernières sous-chaînes du fqdn (j'ai pas le même format de log, et seulement les ip, pas encore adapté ton script
pour vo
Le Tue, 02 Dec 2008 15:16:19 +0100
Daniel Caillibaud <[EMAIL PROTECTED]> a écrit:
> François Boisson a écrit :
> > Voilà, à chacun des 128 domaines moins les 15 gérés par des abrutis qui
> > utilisent des listes noires à la c.. me considèrant comme un spammeur,
> > j'ai envoyé un mail avec les mac
François Boisson a écrit :
Voilà, à chacun des 128 domaines moins les 15 gérés par des abrutis qui
utilisent des listes noires à la c.. me considèrant comme un spammeur,
j'ai envoyé un mail avec les machines concernées (souvent guère plus de 3-4
d'ailleurs) en ne conservant que celles dont j'avai
François Boisson a écrit :
Voilà, à chacun des 128 domaines moins les 15 gérés par des abrutis qui
utilisent des listes noires à la c.. me considèrant comme un spammeur,
j'ai envoyé un mail avec les machines concernées (souvent guère plus de 3-4
d'ailleurs) en ne conservant que celles dont j'avai
>
> Voilà, à chacun des 128 domaines moins les 15 gérés par des abrutis qui
> utilisent des listes noires à la c.. me considèrant comme un spammeur,
> j'ai envoyé un mail avec les machines concernées (souvent guère plus de 3-4
> d'ailleurs) en ne conservant que celles dont j'avais encore les heure
Le Mon, 1 Dec 2008 18:39:32 +0100
Sylvain Sauvage <[EMAIL PROTECTED]> a écrit:
> Peut-être déjà, les grouper par FAI ? d’autant que plusieurs
> IP peuvent correspondre à une seule machine (vu le temps entre
> les tentatives).
>
> Bon courage…
Voilà, à chacun des 128 domaines moins les 15 gér
François Boisson, lundi 1 décembre 2008, 18:24:09 CET
>
> Le Mon, 01 Dec 2008 17:26:57 +0100
> Régis Grison <[EMAIL PROTECTED]> a écrit:
>
> > Si quelqu'un a les IP de ces machines, ça serait pas
> > possible de faire un rapport à leur provider pour qu'il
> > prévienne les propriétaires ? Je pens
Le Mon, 01 Dec 2008 17:26:57 +0100
Régis Grison <[EMAIL PROTECTED]> a écrit:
> Si quelqu'un a les IP de ces machines, ça serait pas possible de faire
> un rapport à leur provider pour qu'il prévienne les propriétaires ? Je
> pense qu'un certain nombre ignorent ce qui se passe. Pour les autres, i
Pascal Hambourg a écrit :
François Boisson a écrit :
445 serveurs ssh ont répondus sur 594 machines. [...]
Merci pour cette petite enquête.
Quant au moyen qui a permis de compromettre ces machines, je pense
qu'il ne faut pas chercher loin et que c'est le même que celui par
lequel elles tent
François Boisson a écrit :
445 serveurs ssh ont répondus sur 594 machines. [...]
Merci pour cette petite enquête.
Quant au moyen qui a permis de compromettre ces machines, je pense qu'il
ne faut pas chercher loin et que c'est le même que celui par lequel
elles tentent de compromettre d'autre
445 serveurs ssh ont répondus sur 594 machines.
parmi ceux là 178 serveurs Debian (du moins avec ssh bannières Debian) dont
132 sous sarge. 11 serveurs Ubuntu.
Les versions des serveurs SSH sont les suivantes (avec les fréquences):
OpenSSH_3.7 10
OpenSSH_3.8 169
OpenSSH_3.9 21
OpenSSH_4.1 56
Ope
Bonjour François,
Le samedi 29 novembre 2008 12:27, François Boisson a écrit :
> Il me semble que Sarge était touché par la faille des clefs ssh.
Pour information, le wiki debian affirme le contraire:
[citation]La première version vulnérable, 0.9.8c-1, a été téléchargée dans
la distribution ins
L> Je vois qu'on a les mêmes (et pour une fois ce ne sont pas des machines
> sous Windows, d'après la bannière du service SSH qui tourne dessus il y
> a pas mal de Debian). Mais en ce qui me concerne ça fait des années que
> ça dure, et ce n'est pas une unique tentative par addresse source mais
Salut,
François Boisson a écrit :
Charles Plessy <[EMAIL PROTECTED]> a écrit:
ça fait quelques jours qu'on est en train de tester un dictionnaire sur mon
serveur ssh, mais avec une adresse IP différente par mot.
[...]
Sans vouloir te décourager, ça dure chez moi depuis le 23 Novembre,
[...]
Si vous êtes peux a utilisez SSH sur cette machine, le port-knocking me
semble le plus fiable.
--
[EMAIL PROTECTED]
ID: 0x393F4A08
Fingerprint: 9170 4DD5 31D5 4C01 1EF2 9852 0DB1 A9E5 393F 4A08
Charles Plessy a écrit :
> Bonjour tout le monde,
>
> ça fait quelques jours qu'on est en train de tester un dictionnaire sur mon
> serveur ssh, mais avec une adresse IP différente par mot. C'est très énervant
> car j'utilise logcheck, qui m'envoie des tonnes de notifications du genre
> suivant :
Le Sat, 29 Nov 2008 13:22:55 +0900
Charles Plessy <[EMAIL PROTECTED]> a écrit:
> Bonjour tout le monde,
>
> ça fait quelques jours qu'on est en train de tester un dictionnaire sur mon
> serveur ssh, mais avec une adresse IP différente par mot. C'est très énervant
> car j'utilise logcheck, qui m'e
Charles Plessy wrote:
Bonjour tout le monde,
Bonjour,
Quelqu'un connaît-t-il une bonne méthode pour se débarasser de ces tentatives
de connextion (hormis le déplacement du port 22 à une autre adresse ?) Par
exemple, existe-t-il des listes noires ?
Je connais deux outils pour limiter les tenta
On Saturday 29 November 2008 05:22:55 Charles Plessy wrote:
> Bonjour tout le monde,
>
> ça fait quelques jours qu'on est en train de tester un dictionnaire sur mon
> serveur ssh, mais avec une adresse IP différente par mot. C'est très
> énervant car j'utilise logcheck, qui m'envoie des tonnes de n
23 matches
Mail list logo
