Aller au contenu

Sshd et securite


Celos

Messages recommandés

Hello tout le monde,

Bientot 4 mois que j'ai pas booté sous windows ! (bon ça on s'en fout, mais je voulais le dire :yes:)

Donc depuis une semaine, j'ai décidé d'installer ssh sur ma petite debian, histoire de pouvoir me connecter sur mon pc, et travailler dessus.

J'utilise donc ssh avec RSA et une passphrase, et j'ai désactivé la connexion en root, ainsi qu'en password.

(Je pense que c'est la solution la plus sure, la plus securisée, dites le moi si je me trompe :D).

Etant quand même un peu inquiet, je regarde assez souvent mes logs (/var/log/auth.log), et j'ai constaté à plusieurs reprise des logs bizarre.

Le 1er de ce style:

Feb 15 17:36:04 debian sshd[10060]: Invalid user class from 211.237.24.193
Feb 15 17:36:07 debian sshd[10062]: Invalid user class2004 from 211.237.24.193
Feb 15 17:36:10 debian sshd[10064]: Invalid user class2005 from 211.237.24.193
Feb 15 17:36:12 debian sshd[10067]: Invalid user cpanel from 211.237.24.193
. . .

Je pense que là, il s'agit d'une attaque par dictionnaire, l'attaquant essaie un nombre important de login pour pouvoir se connecter. Vu que j'ai désactivé la connexion par password, normalement j'ai pas à m'inquieter de ça, non ? (une petite confirmation serait sympa :chinois:)

Le 2e de ce style:

Feb 15 17:15:42 debian sshd[9743]: Invalid user abe from 203.146.147.5
Feb 15 17:15:42 debian sshd[9743]: reverse mapping checking getaddrinfo for emailgw.minornet.com failed - POSSIBLE BREAK-IN ATTEMPT!
Feb 15 17:15:45 debian sshd[9745]: Invalid user abel from 203.146.147.5
Feb 15 17:15:47 debian sshd[9745]: reverse mapping checking getaddrinfo for emailgw.minornet.com failed - POSSIBLE BREAK-IN ATTEMPT!
. . .

La je trouve ça un peu plus inquiétant, je comprends pas de quel genre d'attaque il s'agit, ce que l'attaquant fait, etc ...

Si quelqu'un pouvait m'expliquer...

Sinon j'aimerais savoir, comment empécher ce genre d'attaque ou tentative ?

Merci d'avance.

Celos.

Lien vers le commentaire
Partager sur d’autres sites

Je crois que c'est le même genre d'attaque (par user - password) sauf que ton hacker a spoofé son adresse IP et ton SSHD fait une vérification DNS, alors tu obtiens l'erreur: reverse mapping checking getaddrinfo for emailgw.minornet.com failed - POSSIBLE BREAK-IN ATTEMPT!

* Je suis pas certain de ma réponse, mais ça ressemble fortement à ça ! Un gars comme Tuxxx pourrait confirmer.

Lien vers le commentaire
Partager sur d’autres sites

1- Oui l'erreur

Feb 15 17:15:47 debian sshd[9745]: reverse mapping checking getaddrinfo for emailgw.minornet.com failed - POSSIBLE BREAK-IN ATTEMPT!
, c'est que ssh tente un reverse sur l'ip ( getaddrinfo ) et le reverse correspond pas .

2- Mon conseil perso pour ssh est de base soit tu a firewall qui throttle et limit le nombre d'essai/sec sur un port. OU tout simplement dans la config /etc/sshd tu change le port de ssh en 50022 par exemple.

Ensuite pour te connecter il suffit de ssh toto@tld.com -p50022

Lien vers le commentaire
Partager sur d’autres sites

Archivé

Ce sujet est désormais archivé et ne peut plus recevoir de nouvelles réponses.

×
×
  • Créer...