Conversation
precedente ou
suivante
Logs et ssh
Envoyé par:
phenix
Bonjour
Je viens de decouvrir la chose suivante dans mes logs ssh
Jan 11 18:31:37 localhost sshd[923]: Illegal user patrick from 222.61.19.11
Jan 11 18:31:42 localhost sshd[925]: Illegal user patrick from 222.61.19.11
Jan 11 18:32:12 localhost sshd[937]: Illegal user rolo from 222.61.19.11
Jan 11 18:32:17 localhost sshd[939]: Illegal user iceuser from 222.61.19.11
Jan 11 18:32:21 localhost sshd[941]: Illegal user horde from 222.61.19.11
Jan 11 18:32:26 localhost sshd[943]: Illegal user cyrus from 222.61.19.11
Jan 11 18:32:30 localhost sshd[945]: Illegal user www from 222.61.19.11
Jan 11 18:32:39 localhost sshd[947]: Illegal user wwwrun from 222.61.19.11
Jan 11 18:32:44 localhost sshd[949]: Illegal user matt from 222.61.19.11
Jan 11 18:32:48 localhost sshd[951]: Illegal user test from 222.61.19.11
Jan 11 18:32:52 localhost sshd[953]: Illegal user test from 222.61.19.11
Jan 11 18:32:58 localhost sshd[955]: Illegal user test from 222.61.19.11
Jan 11 18:33:02 localhost sshd[957]: Illegal user test from 222.61.19.11
Jan 11 18:33:13 localhost sshd[961]: Illegal user mysql from 222.61.19.11
Jan 11 18:33:17 localhost sshd[963]: Illegal user operator from 222.61.19.11
Jan 11 18:33:22 localhost sshd[965]: Illegal user adm from 222.61.19.11
Jan 11 18:33:29 localhost sshd[967]: Illegal user apache from 222.61.19.11
Jan 11 18:33:44 localhost sshd[973]: Illegal user adm from 222.61.19.11
Jan 11 18:34:01 localhost sshd[981]: Illegal user jane from 222.61.19.11
Jan 11 18:34:05 localhost sshd[983]: Illegal user pamela from 222.61.19.11
Jan 11 18:34:33 localhost sshd[995]: Illegal user cosmin from 222.61.19.11
Jan 11 18:37:30 localhost sshd[1070]: Illegal user cip52 from 222.61.19.11
Jan 11 18:37:34 localhost sshd[1072]: Illegal user cip51 from 222.61.19.11
Jan 11 18:37:43 localhost sshd[1076]: Illegal user noc from 222.61.19.11
Jan 11 18:38:05 localhost sshd[1086]: Illegal user webmaster from 222.61.19.11
Jan 11 18:38:09 localhost sshd[1088]: Illegal user data from 222.61.19.11
Jan 11 18:38:13 localhost sshd[1090]: Illegal user user from 222.61.19.11
Jan 11 18:38:18 localhost sshd[1092]: Illegal user user from 222.61.19.11
Jan 11 18:38:25 localhost sshd[1094]: Illegal user user from 222.61.19.11
Jan 11 18:38:29 localhost sshd[1096]: Illegal user web from 222.61.19.11
Jan 11 18:38:34 localhost sshd[1098]: Illegal user web from 222.61.19.11
Jan 11 18:38:38 localhost sshd[1100]: Illegal user oracle from 222.61.19.11
Jan 11 18:38:44 localhost sshd[1102]: Illegal user sybase from 222.61.19.11
Jan 11 18:38:48 localhost sshd[1104]: Illegal user master from 222.61.19.11
Jan 11 18:38:53 localhost sshd[1106]: Illegal user account from 222.61.19.11
Jan 11 18:39:01 localhost sshd[1110]: Illegal user server from 222.61.19.11
Pensez vous que c'est une tentative de piratage ?
Je viens de decouvrir la chose suivante dans mes logs ssh
Jan 11 18:31:37 localhost sshd[923]: Illegal user patrick from 222.61.19.11
Jan 11 18:31:42 localhost sshd[925]: Illegal user patrick from 222.61.19.11
Jan 11 18:32:12 localhost sshd[937]: Illegal user rolo from 222.61.19.11
Jan 11 18:32:17 localhost sshd[939]: Illegal user iceuser from 222.61.19.11
Jan 11 18:32:21 localhost sshd[941]: Illegal user horde from 222.61.19.11
Jan 11 18:32:26 localhost sshd[943]: Illegal user cyrus from 222.61.19.11
Jan 11 18:32:30 localhost sshd[945]: Illegal user www from 222.61.19.11
Jan 11 18:32:39 localhost sshd[947]: Illegal user wwwrun from 222.61.19.11
Jan 11 18:32:44 localhost sshd[949]: Illegal user matt from 222.61.19.11
Jan 11 18:32:48 localhost sshd[951]: Illegal user test from 222.61.19.11
Jan 11 18:32:52 localhost sshd[953]: Illegal user test from 222.61.19.11
Jan 11 18:32:58 localhost sshd[955]: Illegal user test from 222.61.19.11
Jan 11 18:33:02 localhost sshd[957]: Illegal user test from 222.61.19.11
Jan 11 18:33:13 localhost sshd[961]: Illegal user mysql from 222.61.19.11
Jan 11 18:33:17 localhost sshd[963]: Illegal user operator from 222.61.19.11
Jan 11 18:33:22 localhost sshd[965]: Illegal user adm from 222.61.19.11
Jan 11 18:33:29 localhost sshd[967]: Illegal user apache from 222.61.19.11
Jan 11 18:33:44 localhost sshd[973]: Illegal user adm from 222.61.19.11
Jan 11 18:34:01 localhost sshd[981]: Illegal user jane from 222.61.19.11
Jan 11 18:34:05 localhost sshd[983]: Illegal user pamela from 222.61.19.11
Jan 11 18:34:33 localhost sshd[995]: Illegal user cosmin from 222.61.19.11
Jan 11 18:37:30 localhost sshd[1070]: Illegal user cip52 from 222.61.19.11
Jan 11 18:37:34 localhost sshd[1072]: Illegal user cip51 from 222.61.19.11
Jan 11 18:37:43 localhost sshd[1076]: Illegal user noc from 222.61.19.11
Jan 11 18:38:05 localhost sshd[1086]: Illegal user webmaster from 222.61.19.11
Jan 11 18:38:09 localhost sshd[1088]: Illegal user data from 222.61.19.11
Jan 11 18:38:13 localhost sshd[1090]: Illegal user user from 222.61.19.11
Jan 11 18:38:18 localhost sshd[1092]: Illegal user user from 222.61.19.11
Jan 11 18:38:25 localhost sshd[1094]: Illegal user user from 222.61.19.11
Jan 11 18:38:29 localhost sshd[1096]: Illegal user web from 222.61.19.11
Jan 11 18:38:34 localhost sshd[1098]: Illegal user web from 222.61.19.11
Jan 11 18:38:38 localhost sshd[1100]: Illegal user oracle from 222.61.19.11
Jan 11 18:38:44 localhost sshd[1102]: Illegal user sybase from 222.61.19.11
Jan 11 18:38:48 localhost sshd[1104]: Illegal user master from 222.61.19.11
Jan 11 18:38:53 localhost sshd[1106]: Illegal user account from 222.61.19.11
Jan 11 18:39:01 localhost sshd[1110]: Illegal user server from 222.61.19.11
Pensez vous que c'est une tentative de piratage ?
Poste le Thursday 13 January 2005 20:08:40
Re: Logs et ssh
Envoyé par:
Morgan
Oui, j'en ai eu plein mes logs pendant longtemps aussi.
Rien de bien grave cependant si ton serveur est bien configuré. En fait, il s'agit d'un robot, qui scanne la machine et si le port 22 est ouvert, il provoque une attaque en force brute sur ce port avec des noms d'utilsateur pré-déterminés et des mots de passe soit pré-enregistrés soit générés aléatoirement selon la version du robot.
Donc, le plus sécurisé est de refuser l'authentification par mot de passe et de n'accepter que l'authentification par par clef publique/privée, et là, a priori tu ne risques plus rien avec ce genre d'attaque.
Si tu dois accepter les connections par mot de passe, alors tu choisis de "vrais mots de passe" (qui ne veulent rien dire, 8 caractères minimum, et tu mélanges différents types de caractères: lettres, ponctuation, etc... le toutim habituel, en fait).
Si tu veux te débarrasser de ces messages dand tes logs, tu changes le port d'écoute de ton serveur ssh. Il te faut simplement prévenir ceux qui sont autorisés. Le robot ne déclenche l'attaque que si le port 22 est ouvert.
Ces attaques sont très répandus depuis 6 mois environ. j'ai trouvé une bonne partie de ces infos sur ce forum:
[www.linuxjunior.org]
___________________________________________________
L'interface chaise-clavier se débuggue elle aussi...
Rien de bien grave cependant si ton serveur est bien configuré. En fait, il s'agit d'un robot, qui scanne la machine et si le port 22 est ouvert, il provoque une attaque en force brute sur ce port avec des noms d'utilsateur pré-déterminés et des mots de passe soit pré-enregistrés soit générés aléatoirement selon la version du robot.
Donc, le plus sécurisé est de refuser l'authentification par mot de passe et de n'accepter que l'authentification par par clef publique/privée, et là, a priori tu ne risques plus rien avec ce genre d'attaque.
Si tu dois accepter les connections par mot de passe, alors tu choisis de "vrais mots de passe" (qui ne veulent rien dire, 8 caractères minimum, et tu mélanges différents types de caractères: lettres, ponctuation, etc... le toutim habituel, en fait).
Si tu veux te débarrasser de ces messages dand tes logs, tu changes le port d'écoute de ton serveur ssh. Il te faut simplement prévenir ceux qui sont autorisés. Le robot ne déclenche l'attaque que si le port 22 est ouvert.
Ces attaques sont très répandus depuis 6 mois environ. j'ai trouvé une bonne partie de ces infos sur ce forum:
[www.linuxjunior.org]
___________________________________________________
L'interface chaise-clavier se débuggue elle aussi...
Poste le Thursday 13 January 2005 20:22:27
Re: Logs et ssh
Envoyé par:
Morgan
Je viens d'apprendre que laisser usePAM à yes dans le fichier de conf d'un serveur ssh dont on a désactivé l'authentification était incohérent. Je crois que ce n'est pas trop connu et en tout cas mal documenté (ou alors pardonnez mon ignorance ;-) ), via la liste de développement debian:
[lists.debian.org]
___________________________________________________
L'interface chaise-clavier se débuggue elle aussi...
Poste le Saturday 21 May 2005 08:43:59
Ce forum !
Logs et ssh
Posez dans ce forum les questions qui ne trouvent pas place dans les autres...
Sauf mention contraire, les documentations publiées sont sous licence Creative-Commons