Bonjour
De mon expérience avec fail2banet ssh, dans une situation similaire (NAT
derrière une box) les IP des attaquants sont celles venant de l'extérieur.
Donc si dans les logs les ip appartiennent au réseau local, c'est que
l'attaquant s'y trouve, ou bien utilise une machine locale pour effectue
Bonjour,
C'est possible que ça vienne de l'extérieur (a l'époque ca pouvait être une
attaque par IP spoofing/paquet martien). Mais ça ne ce fait plus trop de
nos jours , les routeurs/firewall savent gérer cela
Le mar. 22 févr. 2022 à 11:50, Sil a écrit :
> Le 22/02/2022 à 09:27, Sil a écrit :
>
On Tuesday 22 February 2022 09:27:46 Sil wrote:
> Bonjour la liste,
> Pourriez-vous m'enlever un doute... sur un réseau local derrière une
> box, j'ai des postes w$ DHCP et un serveur Debian stable à jour. Ce
> serveur est accessible via SSH sur le réseau local via le port classique
> et depuis
Le 22/02/2022 à 09:27, Sil a écrit :
/var/log/auth.log.2.gz:Feb 7 09:34:58 monserveur sshd[]:
Disconnected from invalid user Admin 192.168.X.X port [preauth]
Mais est-ce que l'IP du fichier log peut provenir de l’extérieur ? Ou
est-ce impossible ?
Est-il possible de différencier les
Sil a écrit :
> Bonjour la liste,
>
> Pourriez-vous m'enlever un doute... sur un réseau local derrière une
> box, j'ai des postes w$ DHCP et un serveur Debian stable à jour. Ce
> serveur est accessible via SSH sur le réseau local via le port classique
> et depuis l’extérieur sur un autre port via
Bonjour la liste,
Pourriez-vous m'enlever un doute... sur un réseau local derrière une
box, j'ai des postes w$ DHCP et un serveur Debian stable à jour. Ce
serveur est accessible via SSH sur le réseau local via le port classique
et depuis l’extérieur sur un autre port via le NAT de la box. Seul
Le 09/05/2011 21:13, Basile Starynkevitch a écrit
Regardes dans le fichier /var/log/auth.log
et installes fail2ban
Cordialement
À priori, la commande "grep -R 202.190.126.12 /var/log/*" passe
/var/log/auth.log en revu, par acquis de conscience, j'ai vérifié
manuellement mais non, il n'y a rie
Bonsoir,
En fait ta ligne veut juste dire que il y a une connexion, et que le daemon ssh
tourne en root.
Jusqu'à la, rien d'anormal.
Bonne soirée,
Andreas
On May 9, 2011, at 9:07 PM, luc schimpf wrote:
> Bonsoir,
>
> j'ai un petit routeur/serveur sous squeeze.
> Aujourd'hui, je vois la diode
On Mon, May 09, 2011 at 09:07:26PM +0200,
luc schimpf wrote
a message of 41 lines which said:
> tcp0464 192.168.1.70:ssh202.190.126.12:54133
> ESTABLISHED root 12802
La Malaisie. C'est cool, l'Internet, on voyage.
> si quelqu'un pouvait m'expliquer comment netstat
On Mon, 09 May 2011 21:07:26 +0200
luc schimpf wrote:
> Bonsoir,
>
> j'ai un petit routeur/serveur sous squeeze.
> Vous l'aurez sans doute compris, je ne suis pas très calé sur la
> sécurité réseau, si quelqu'un pouvait m'expliquer comment netstat peut
> trouver une connexion ESTABLISHED alors
Bonsoir,
j'ai un petit routeur/serveur sous squeeze.
Aujourd'hui, je vois la diode de ma freebox qui s'affole alors que
théoriquement personne n'est connecté, je fais donc un "netstat -lapute"
sur mon serveur et je trouve la ligne suivante:
tcp0464 192.168.1.70:ssh202.190.
Salut
Paul Filo a écrit :
Moi j'utilise les règles iptables suivantes qui autorisent 1 connexion
par minute (ou moins si on veut) et par ip sur le port ssh. Ca permet de
calmer les tentatives avec différents users en rafale sans géner
l'utilisation normale :
Sans gêner, c'est vite dit. Ce gen
-BEGIN PGP SIGNED MESSAGE-
Hash: SHA1
>
> Comment sécuriser ssh pour éviter ces attaques?
>
En plus des autres solutions, fail2ban, simple et efficace. Ca bloque
dans iptables l'ip de l'attaquant pour x heures après n tentatives de
connexion failed (chez moi ça bloque pour 600 heures au bo
> Bonjour,
>
> Effectivement c'est une attaque, la pluipart du temps se sont des vers
> qui tentent des attaques par dicitonnaire sur les ports SSH ouverts
> dans des plages d'adresses. C'est très fréquent.
>
> Si tu te sens l'âme charitable, tu peux faire un whois sur l'IP et
> écrire un mail au
Le Mardi 5 Décembre 2006 13:47, Laurent Besson a écrit :
> Le Mardi 5 Décembre 2006 09:26, Yann Lejeune a écrit :
...
> Quelqu'un m'a fait découvrir le programme "knockd"...
> Qui permet de laisser fermé les ports sensibles SSH, FTP...
> Mais lorsqu'il est invoqué avec la bonne conf, ouvre les port
Le Mardi 5 Décembre 2006 09:26, Yann Lejeune a écrit :
> On 2006/12/05-09:06(+0100), [EMAIL PROTECTED] wrote :
> Avec ca ton serveur sera un minimun configuré correctement. Après dès qu'on
> mets un service avec authentification accessible sur internet (ssh ftp...),
> il faut inévitablement s'
ailto:[EMAIL PROTECTED]
Envoyé : mardi 5 décembre 2006 09:27
À : debian-user-french@lists.debian.org
Objet : Re: attaque ssh?
On 2006/12/05-09:06(+0100), [EMAIL PROTECTED] wrote :
> Qu'est-ce que cela signifie exactement?
> Comment sécuriser ssh pour éviter ces attaques?
> Comment sa
Bonjour,
Le mardi 05 décembre 2006, Yann Lejeune a écrit...
> Avec ca ton serveur sera un minimun configuré correctement. Après dès qu'on
> mets un service avec authentification accessible sur internet (ssh ftp...),
> il faut inévitablement s'attendre à ce que des bots, ou mêmes des
> pers
On 12/5/06, [EMAIL PROTECTED] <[EMAIL PROTECTED]> wrote:
Bonjour,
j'ai un serveur web que j'administre à distance via ssh (machine debian Sarge).
Tout ce qu'il y a de plus classique. J'ai vu dans mes logs auth.log des entrées
qui me paraissent suspectes. Il doit s'agir de tentatives d'attaques s
On 2006/12/05-09:06(+0100), [EMAIL PROTECTED] wrote :
> Qu'est-ce que cela signifie exactement?
> Comment sécuriser ssh pour éviter ces attaques?
> Comment savoir si l'attaque a abouti?
>
Ce sont des tentatives de connexion en utilisant des comptes
"classiques".
Le meilleur moyen de se protéger
Salut !
Ca ressemble bien a une "attaque" :
pour fiabiliser les choses :
1) interdire le login de root,
2) changer le port par default pour un autre que 22,
3) eventuellement installer iptable en autorisant que des adresses a toi
a passer sur le port de ssh
4) utiliser le principe des cles.
po
Bonjour,
j'ai un serveur web que j'administre à distance via ssh (machine debian Sarge).
Tout ce qu'il y a de plus classique. J'ai vu dans mes logs auth.log des entrées
qui me paraissent suspectes. Il doit s'agir de tentatives d'attaques ssh.
Voilà ce que disent les logs :
Illegal user test from
Le Wed, 17 Nov 2004 11:22:29 +0100
[EMAIL PROTECTED] (François TOURDE) a écrit:
> Le 12738ième jour après Epoch,
> François Boisson écrivait:
>
> > Le Tue, 16 Nov 2004 19:03:17 +0100
> > dlist <[EMAIL PROTECTED]> a écrit:
> >
>
> > Je suis allé au commissariat où on m'a écouté avec soin et intérê
Le mercredi 17 nov 2004 à 11 h 22, François a dit:
> Le 12738ième jour après Epoch,
> François Boisson écrivait:
>
> > Le Tue, 16 Nov 2004 19:03:17 +0100
> > dlist <[EMAIL PROTECTED]> a écrit:
> >
> >> De ce fait j'en appelle à ceux qui ont de l'expérience en la
> >matière> et j'aimerai savoir le
Le mercredi 17 nov 2004 à 11 h 24, François a dit:
> > Le mardi 16 nov 2004 à 20 h 01, François a dit:
> >
> >> Autre chose: Essaye, juste pour rire, de ne saisir que les 8
> >> premiers caractères d'un des mots de passes, histoire de...
> >> (On peut toujours rêver, mais on sait jamais)
> >
> > ?
Le 12739ième jour après Epoch,
[EMAIL PROTECTED] écrivait:
> Le mardi 16 nov 2004 à 20 h 01, François a dit:
>
>> Autre chose: Essaye, juste pour rire, de ne saisir que les 8
>> premiers caractères d'un des mots de passes, histoire de...
>> (On peut toujours rêver, mais on sait jamais)
>
> ?? comp
Le 12738ième jour après Epoch,
François Boisson écrivait:
> Le Tue, 16 Nov 2004 19:03:17 +0100
> dlist <[EMAIL PROTECTED]> a écrit:
>
>> De ce fait j'en appelle à ceux qui ont de l'expérience en la matière
>> et j'aimerai savoir leur modus operandi.
>
> J'avais en Décembre 2003 été victime d'une i
Le mercredi 17 nov 2004 à 08 h 56, Patrice a dit:
> François Boisson wrote:
> > Le Tue, 16 Nov 2004 19:03:17 +0100
> > dlist <[EMAIL PROTECTED]> a écrit:
>
> [...]
>
> > J'ai envoyé un courrier complet à son FAI, aucune nouvelle.
> >
> > Je suis allé au commissariat où on m'a écouté avec soin e
Le mardi 16 nov 2004 à 20 h 01, François a dit:
> Le 12738ième jour après Epoch,
> [EMAIL PROTECTED] écrivait:
>
> > Bonjour la liste.
> >
> > D'abord désolé de renvoyer un thread sur un sujet que j'avais déjà
> > abordé il y a quelques temps, mai comme je fais du ménage
> > régulièrement, je n'a
François Boisson wrote:
Le Tue, 16 Nov 2004 19:03:17 +0100
dlist <[EMAIL PROTECTED]> a écrit:
[...]
J'ai envoyé un courrier complet à son FAI, aucune nouvelle.
Je suis allé au commissariat où on m'a écouté avec soin et intérêt et où
on m'a aiguillé vers un service à Paris (près de la place d
Le Tue, 16 Nov 2004 19:03:17 +0100
dlist <[EMAIL PROTECTED]> a écrit:
> De ce fait j'en appelle à ceux qui ont de l'expérience en la matière
> et j'aimerai savoir leur modus operandi.
J'avais en Décembre 2003 été victime d'une intrusion avec installation de
rootkit, etc sur mon parefeu.
J'avais
On Tue, Nov 16, 2004 at 08:30:01PM +0100, Rakotomandimby (R12y) Mihamina wrote:
> 42.
Hein? C'est la réponse à quelle question?
Y. - Don't panic
On Tue, 2004-11-16 at 19:53, dlist wrote:
> Quoi d'autre?
Le pape s'est converti en Protestant.
42.
--
ASPO Infogérance http://aspo.rktmb.org/activites/infogerance
Unofficial FAQ fcolc http://faq.fcolc.eu.org/
LUG sur Orléans et alentours.
Tél : 02 38 76 43 65 (France)
Le 12738ième jour après Epoch,
[EMAIL PROTECTED] écrivait:
> Bonjour la liste.
>
> D'abord désolé de renvoyer un thread sur un sujet que j'avais déjà
> abordé il y a quelques temps, mai comme je fais du ménage
> régulièrement, je n'ai plus le thread en question, d'où celui-ci..
> bref.. c'est pas
Le mardi 16 nov 2004 à 19 h 46, Rakotomandimby a dit:
> On Tue, 2004-11-16 at 19:35, dlist wrote:
> > est-ce vraiment la jungle?
>
> Oui ça l'est. :-)
merci pour ces infos hyper généralistes :-)
Quoi d'autre?
On Tue, 2004-11-16 at 19:35, dlist wrote:
> est-ce vraiment la jungle?
Oui ça l'est. :-)
--
ASPO Infogérance http://aspo.rktmb.org/activites/infogerance
Unofficial FAQ fcolc http://faq.fcolc.eu.org/
LUG sur Orléans et alentours.
Tél : 02 38 76 43 65 (France)
Le mardi 16 nov 2004 à 19 h 12, Rakotomandimby a dit:
> On Tue, 2004-11-16 at 19:03, dlist wrote:
> > Bonjour la liste.
>
> Bonjour, ça peut aussi etre des attaques involontaires...
:) bon si c'est ça, alors ça va... non je déconne.. c'est comme la
loi, nul n'est sensé l'ignorer.. mais ça n'appo
On Tue, 2004-11-16 at 19:03, dlist wrote:
> Bonjour la liste.
Bonjour, ça peut aussi etre des attaques involontaires...
Un PC infecté suffit pour faire ça ...
Mais j'avoue que ce que je fais dans ces cas là, c'est que je bloque
temporairement l'IP (REJECT et non DROP dans iptables) je la débloque
Bonjour la liste.
D'abord désolé de renvoyer un thread sur un sujet que j'avais déjà
abordé il y a quelques temps, mai comme je fais du ménage
régulièrement, je n'ai plus le thread en question, d'où celui-ci..
bref.. c'est pas la police ici.
Donc je me fais attaquer régulièrement sur mon serveur
39 matches
Mail list logo
