Celos Posté(e) le 15 février 2007 Partager Posté(e) le 15 février 2007 Hello tout le monde, Bientot 4 mois que j'ai pas booté sous windows ! (bon ça on s'en fout, mais je voulais le dire ) Donc depuis une semaine, j'ai décidé d'installer ssh sur ma petite debian, histoire de pouvoir me connecter sur mon pc, et travailler dessus. J'utilise donc ssh avec RSA et une passphrase, et j'ai désactivé la connexion en root, ainsi qu'en password. (Je pense que c'est la solution la plus sure, la plus securisée, dites le moi si je me trompe ). Etant quand même un peu inquiet, je regarde assez souvent mes logs (/var/log/auth.log), et j'ai constaté à plusieurs reprise des logs bizarre. Le 1er de ce style: Feb 15 17:36:04 debian sshd[10060]: Invalid user class from 211.237.24.193 Feb 15 17:36:07 debian sshd[10062]: Invalid user class2004 from 211.237.24.193 Feb 15 17:36:10 debian sshd[10064]: Invalid user class2005 from 211.237.24.193 Feb 15 17:36:12 debian sshd[10067]: Invalid user cpanel from 211.237.24.193 . . . Je pense que là, il s'agit d'une attaque par dictionnaire, l'attaquant essaie un nombre important de login pour pouvoir se connecter. Vu que j'ai désactivé la connexion par password, normalement j'ai pas à m'inquieter de ça, non ? (une petite confirmation serait sympa ) Le 2e de ce style: Feb 15 17:15:42 debian sshd[9743]: Invalid user abe from 203.146.147.5 Feb 15 17:15:42 debian sshd[9743]: reverse mapping checking getaddrinfo for emailgw.minornet.com failed - POSSIBLE BREAK-IN ATTEMPT! Feb 15 17:15:45 debian sshd[9745]: Invalid user abel from 203.146.147.5 Feb 15 17:15:47 debian sshd[9745]: reverse mapping checking getaddrinfo for emailgw.minornet.com failed - POSSIBLE BREAK-IN ATTEMPT! . . . La je trouve ça un peu plus inquiétant, je comprends pas de quel genre d'attaque il s'agit, ce que l'attaquant fait, etc ... Si quelqu'un pouvait m'expliquer... Sinon j'aimerais savoir, comment empécher ce genre d'attaque ou tentative ? Merci d'avance. Celos. Lien vers le commentaire Partager sur d’autres sites More sharing options...
ggbce Posté(e) le 15 février 2007 Partager Posté(e) le 15 février 2007 Je crois que c'est le même genre d'attaque (par user - password) sauf que ton hacker a spoofé son adresse IP et ton SSHD fait une vérification DNS, alors tu obtiens l'erreur: reverse mapping checking getaddrinfo for emailgw.minornet.com failed - POSSIBLE BREAK-IN ATTEMPT! * Je suis pas certain de ma réponse, mais ça ressemble fortement à ça ! Un gars comme Tuxxx pourrait confirmer. Lien vers le commentaire Partager sur d’autres sites More sharing options...
Celos Posté(e) le 15 février 2007 Auteur Partager Posté(e) le 15 février 2007 hmm ok Est ce que j'ai qqch à craindre ? et comment empécher ce genre d'attaque ? Lien vers le commentaire Partager sur d’autres sites More sharing options...
tsubasaleguedin Posté(e) le 15 février 2007 Partager Posté(e) le 15 février 2007 1- Oui l'erreur Feb 15 17:15:47 debian sshd[9745]: reverse mapping checking getaddrinfo for emailgw.minornet.com failed - POSSIBLE BREAK-IN ATTEMPT!, c'est que ssh tente un reverse sur l'ip ( getaddrinfo ) et le reverse correspond pas .2- Mon conseil perso pour ssh est de base soit tu a firewall qui throttle et limit le nombre d'essai/sec sur un port. OU tout simplement dans la config /etc/sshd tu change le port de ssh en 50022 par exemple. Ensuite pour te connecter il suffit de ssh toto@tld.com -p50022 Lien vers le commentaire Partager sur d’autres sites More sharing options...
Celos Posté(e) le 15 février 2007 Auteur Partager Posté(e) le 15 février 2007 J'ai pas de firewall d'installer sur mon pc, vu que j'ai un routeur qui dispose lui d'un firewall. Je pense que je vais changer de port, c'est légèrement plus contraignant, mais ça reste supportable. Merci pr vos réponses :) Lien vers le commentaire Partager sur d’autres sites More sharing options...
Messages recommandés
Archivé
Ce sujet est désormais archivé et ne peut plus recevoir de nouvelles réponses.