Aller au contenu

Attaque SSH ? [Résolu]


Messages recommandés

Vu dans auth.log chez moi.

Mar  9 13:45:13 localhost sshd[4021]: Invalid user a from 218.248.80.76Mar  9 13:45:14 localhost sshd[4021]: error: Could not get shadow information for NOUSERMar  9 13:45:14 localhost sshd[4021]: Failed password for invalid user a from 218.248.80.76 port 57787 ssh2Mar  9 13:45:17 localhost sshd[4023]: Invalid user aakash from 218.248.80.76Mar  9 13:45:17 localhost sshd[4023]: error: Could not get shadow information for NOUSERMar  9 13:45:17 localhost sshd[4023]: Failed password for invalid user aakash from 218.248.80.76 port 57969 ssh2Mar  9 13:45:20 localhost sshd[4025]: Invalid user aalvarez from 218.248.80.76Mar  9 13:45:20 localhost sshd[4025]: error: Could not get shadow information for NOUSER

Et maintenant

Mar  9 19:28:07 localhost sshd[11151]: Failed password for invalid user frsanchez from 218.248.80.76 port 35173 ssh2Mar  9 19:28:10 localhost sshd[11153]: Invalid user frsantiago from 218.248.80.76Mar  9 19:28:10 localhost sshd[11153]: error: Could not get shadow information for NOUSERMar  9 19:28:10 localhost sshd[11153]: Failed password for invalid user frsantiago from 218.248.80.76 port 35974 ssh2Mar  9 19:28:13 localhost sshd[11155]: Invalid user frvalentin from 218.248.80.76Mar  9 19:28:14 localhost sshd[11155]: error: Could not get shadow information for NOUSERMar  9 19:28:14 localhost sshd[11155]: Failed password for invalid user frvalentin from 218.248.80.76 port 36890 ssh2Mar  9 19:28:22 localhost sshd[11157]: Invalid user fsufi from 218.248.80.76Mar  9 19:28:22 localhost sshd[11157]: error: Could not get shadow information for NOUSERMar  9 19:28:22 localhost sshd[11157]: Failed password for invalid user fsufi from 218.248.80.76 port 38861 ssh2

Est-ce dangereux ?

Lien vers le commentaire
Partager sur d’autres sites

Juste par acquis de conscience, rien d'important dans les IP affichées ?

Deuxième chose : si tu peux préciser un petit peu plus ;) C'est pour ceux qui ne feraient pas immédiatement le rapprochement ou qui seraient dans une situation similaire et qui ne saurait pas ;)

Lien vers le commentaire
Partager sur d’autres sites

Effectivement ça peut-être inquiétant, l'IP vient d'Inde...

Surement quelqu'un qui essaie d'accéder à ton serveur... L'idéal serait de bloquer l'IP sur ton serveur ou voir directement avec ton hébergeur si ça dure trop longtemps !

Ça peut-être juste un petit malin qui essaie de voir ce qui est caché dans ton serveur, ou un imbécile (pour ne pas dire de gros mot) qui a mis en place un vrai programme par force brut pour casser ta protection.

Plus d'info sur l'IP ici

Lien vers le commentaire
Partager sur d’autres sites

Merci à tous.

philosomatika, voici donc ce qui se passe. J'ai un serveur SSH accessible par WAN. Depuis peu je tourne sur la même machine un serveur http qui héberge un site, et depuis il y a beaucoup plus

de tentatives d'intrusion qu'avant.

raphael76, j'ai pensé à bloquer l'IP manuellement, mais je me suis dit que si j'éditais hosts.conf ou sshd.conf pour chaque tentative d'intruision, je ne finirais jamais... D'autant que notre hacker ne fait qu'un essai par un login, la chance qu'il puisse parvenir à se logguer est quasi-nulle.

dudul88, merci beaucoup, fail2ban est exactement ce qu'il me faudrait. Je vous tiendrai au courant.

P. S.

Mar  9 23:10:09 localhost sshd[16995]: Failed password for invalid user merodriguez from 218.248.80.76 port 59677 ssh2Mar  9 23:10:13 localhost sshd[16997]: Invalid user merodriguez2 from 218.248.80.76

et notre ami n'est pas allé jusqu'à Z

Lien vers le commentaire
Partager sur d’autres sites

Salut,

en plus de fail2ban

tu peux bloquer avec iptables des pays entiers - tous sauf france par exemple ( bloquer l'accès au SSH ou à tout ton serveur si aucun connexion ne doit venir de là bas )

http://www.sbnet.fr/...acces-par-pays/ ( jamais testé )

ou

http://forum.ovh.com...ead.php?t=36682 ( testé en 2010/2011 et çà marche plutôt bien. )

ou https://www.countryipblocks.net/country_selection.php ( pas testé )

tu peux aussi changer le port du SSH part 8022 par exemple ( pris au hasard n'importe quel port entre 1 et 65 000 pour faire simple)

Lien vers le commentaire
Partager sur d’autres sites

Merci à tous, fail2ban semble marcher comme il faut. Seulement voilà, depuis que je l'ai installé, il n'y a eu qu'une attaque qui a été bloquée ... Allez, les hacker, au boulot! :)

treflemard, c'est une idée interessante, mais un peu trop radicale, à mon goût. Par exempe, je n'imaginais pas me rendre à Iran un jour, et pourtant, quand j'y suis allé j.ai eu à

me connecter tres souvent chez moi par SSH. Il suffit donc d'oublier de débloquer le pays où on se rend, et voilà une catastrophe...

Lien vers le commentaire
Partager sur d’autres sites

Archivé

Ce sujet est désormais archivé et ne peut plus recevoir de nouvelles réponses.

×
×
  • Créer...