February 15, 200718 yr Hello tout le monde, Bientot 4 mois que j'ai pas booté sous windows ! (bon ça on s'en fout, mais je voulais le dire ) Donc depuis une semaine, j'ai décidé d'installer ssh sur ma petite debian, histoire de pouvoir me connecter sur mon pc, et travailler dessus. J'utilise donc ssh avec RSA et une passphrase, et j'ai désactivé la connexion en root, ainsi qu'en password. (Je pense que c'est la solution la plus sure, la plus securisée, dites le moi si je me trompe ). Etant quand même un peu inquiet, je regarde assez souvent mes logs (/var/log/auth.log), et j'ai constaté à plusieurs reprise des logs bizarre. Le 1er de ce style: Feb 15 17:36:04 debian sshd[10060]: Invalid user class from 211.237.24.193 Feb 15 17:36:07 debian sshd[10062]: Invalid user class2004 from 211.237.24.193 Feb 15 17:36:10 debian sshd[10064]: Invalid user class2005 from 211.237.24.193 Feb 15 17:36:12 debian sshd[10067]: Invalid user cpanel from 211.237.24.193 . . . Je pense que là, il s'agit d'une attaque par dictionnaire, l'attaquant essaie un nombre important de login pour pouvoir se connecter. Vu que j'ai désactivé la connexion par password, normalement j'ai pas à m'inquieter de ça, non ? (une petite confirmation serait sympa ) Le 2e de ce style: Feb 15 17:15:42 debian sshd[9743]: Invalid user abe from 203.146.147.5 Feb 15 17:15:42 debian sshd[9743]: reverse mapping checking getaddrinfo for emailgw.minornet.com failed - POSSIBLE BREAK-IN ATTEMPT! Feb 15 17:15:45 debian sshd[9745]: Invalid user abel from 203.146.147.5 Feb 15 17:15:47 debian sshd[9745]: reverse mapping checking getaddrinfo for emailgw.minornet.com failed - POSSIBLE BREAK-IN ATTEMPT! . . . La je trouve ça un peu plus inquiétant, je comprends pas de quel genre d'attaque il s'agit, ce que l'attaquant fait, etc ... Si quelqu'un pouvait m'expliquer... Sinon j'aimerais savoir, comment empécher ce genre d'attaque ou tentative ? Merci d'avance. Celos.
February 15, 200718 yr Je crois que c'est le même genre d'attaque (par user - password) sauf que ton hacker a spoofé son adresse IP et ton SSHD fait une vérification DNS, alors tu obtiens l'erreur: reverse mapping checking getaddrinfo for emailgw.minornet.com failed - POSSIBLE BREAK-IN ATTEMPT! * Je suis pas certain de ma réponse, mais ça ressemble fortement à ça ! Un gars comme Tuxxx pourrait confirmer.
February 15, 200718 yr Author hmm ok Est ce que j'ai qqch à craindre ? et comment empécher ce genre d'attaque ?
February 15, 200718 yr 1- Oui l'erreur Feb 15 17:15:47 debian sshd[9745]: reverse mapping checking getaddrinfo for emailgw.minornet.com failed - POSSIBLE BREAK-IN ATTEMPT!, c'est que ssh tente un reverse sur l'ip ( getaddrinfo ) et le reverse correspond pas .2- Mon conseil perso pour ssh est de base soit tu a firewall qui throttle et limit le nombre d'essai/sec sur un port. OU tout simplement dans la config /etc/sshd tu change le port de ssh en 50022 par exemple. Ensuite pour te connecter il suffit de ssh toto@tld.com -p50022
February 15, 200718 yr Author J'ai pas de firewall d'installer sur mon pc, vu que j'ai un routeur qui dispose lui d'un firewall. Je pense que je vais changer de port, c'est légèrement plus contraignant, mais ça reste supportable. Merci pr vos réponses :)
Archived
This topic is now archived and is closed to further replies.