Feb 23 19:57:47 looping sshd[22649]: Did not receive identification string from 216.187.106.193
Feb 23 20:09:55 sshd[22650]: Illegal user jordan from 216.187.106.193
Feb 23 20:10:02 sshd[22652]: Illegal user michael from 216.187.106.193
Feb 23 20:10:05 sshd[22654]: Illegal user nicole from 216.187.106.193
Feb 23 20:10:09 sshd[22656]: Illegal user daniel from 216.187.106.193
Feb 23 20:10:18 sshd[22658]: Illegal user andrew from 216.187.106.193
Feb 23 20:10:24 sshd[22660]: Illegal user magic from 216.187.106.193
Feb 23 20:10:32 sshd[22662]: Illegal user lion from 216.187.106.193
Je me dis que ce serait bien de remonter à l'auteur pour le prévenir que soit c'est un méchant pas gentil, soit sa machine est compromise par un vilain pas beau.
Seulement voilà : cette IP répond bien au ping, mais nslookup ne m'apprend rien. Comment puis-je obtenir de plus amples infos pour savoir à qui m'adresser ?
# whois
Posté par Bernez . Évalué à 6.
# Il est possible que
Posté par gph . Évalué à 1.
Bien que j'avoue qu'en y regardant de plus près, le temps entre chaque essai de connexion semble bien rapide. Si j'étais toi je bloquerais l'IP en question sur le firewall (ou sur le routeur).
Ensuite je ne suis pas sur qu'une plainte (un mail à abuse@fai_du_gars) aboutisse à grand chose.
# bof ...
Posté par doublehp (site web personnel) . Évalué à 1.
pour info ... tu reponds aussi systematiquement a tous les spams ?
# Bloquer et laisser passer
Posté par Ellendhel (site web personnel) . Évalué à 4.
Selon le réseau où te trouve et la chance dont tu disposes tu auras plus ou moins de surprises de ce genre dans tes logs.
Tant que c'est bloqué il n'y a pas trop à s'inqueter, si ce n'est de faire le nécessaire pour que ce soit effectivement bloqué : correctifs de sécurité, configuration, ...
Quand à prévenir le titulaire de l'adresse IP, bof.
Il faudrait que tu t'adresses à un FAI un peu sérieux (avec un service abuse digne de ce nom) et que les tentatives d'accès commencent à poser un réel problème, sinon la requête à peu de chance d'aboutir...
Sinon pour savoir où s'adresser, utiliser whois.
# script kiddies
Posté par kolter (site web personnel, Mastodon) . Évalué à 7.
j'avais des tentatives de connexions avec les login usuels : root, mail, backup, www, nobody, www-data, etc ... et avec des login chopés dans des dictionnaires genre : patrick, john, etc...
ce que j'ai fait/vérifié (cf. sshd_config, etc...) :
- que root ne puisse pas se logguer en root (trivial) [PermitRootLogin no]
- création d'un groupe sshusers dans lequel je place au compte goutes les utilisateurs qui pourront se logguer via ssh
- j'ajoute la primitive [AllowGroups sshusers] dans le sshd_config
- puis j'y mets aussi [SyslogFacility AUTH] et [LogLevel VERBOSE]
ensuite une petite moulinette régilière sur "auth.log" et tous ce qui est suspect via au choix dans "hosts.deny" ou dans le fichier "blacklist" de shorewall ...
ça en élimine déjà pas mal mais on peut faire mieux...
M.
# Merci
Posté par dromadaire35 . Évalué à 2.
Ça n'a pas l'air jouable de prévenir directement le possesseur de la machine « attaquante » et prévenir le FAI me semble effectivement peu efficace devant la faible gravité (en ce qui me concerne) de l'attaque. Tant pis, je ferais sans.
Quant à ma politique de sécurité, j'en ai profité pour la renforcer. Je suis derrière un routeur Linksys et seul le port ssh est ouvert sur ma machine. Le login en tant que root est désactivé depuis longtemps. Depuis hier soir, seule l'authentification par clé privée/clé publique est authorisée. Je suppose que ça devrait suffire à m'éviter ce genre de soucis par la suite.
[^] # Re: Merci
Posté par Younes Zouhair . Évalué à 2.
# euh, virus ?
Posté par Sylvain Rampacek (site web personnel) . Évalué à 2.
et se sont toujours les mêmes logins...
et en cherchant bien j'avais trouvé que ça venait d'un virus qui essaie de se propager... par contre, je ne me souviens plus du nom... (il essaie des combinaisons simples de login/mots de passe).
donc la personne qui a cette IP est peut-être simplement infectée et n'essaie pas de s'introduire dans ta machine !
[^] # Re: euh, virus ?
Posté par dromadaire35 . Évalué à 1.
Je m'en doute bien ; c'est pour ça que j'aurais bien aimé la prévenir.
# myNetWatchman
Posté par Big Pete . Évalué à 1.
http://www.mynetwatchman.com/LID.asp?IID=149410302(...)
La on se sent moins seul, déja, puis en plus on peut constater qu'une procédure d'abuse automatisée est en cours auprés du provider concerné.
Ça l'air pas mal leur truc, mais question efficacité, là, je sais pas trop.
Faut pas gonfler Gérard Lambert quand il répare sa mobylette.
# o un intru
Posté par lazyl . Évalué à 1.
une fois tout de meme "quelqu'un" a trouve le pass et le login
depuis une securite draconienne s'est impose : reforcement des mots de passe supression du login via root protection contre le social engeneering j'en passe et des meilleures
comme je suis un peu paresseux et que j'ai pas toujours le temps de chercher dans les log j'utilise
grep -r 'ssh' /var/log > ssh.txt & grep -r 'login' /var/log > login.txt
ps : les utilisateurs avertis trouveront certainement mieux
ex tache cron concatenation etc..
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.