Bonjour à tous
J'ai une petite machine sous linux Suse 10.3 avec SuFirewall2
Je subis depuis plus de 24 heures des tentatives de connexion en ssh.
Visiblement l'attaquant se cache derrière des IP forgées.
Il y a un essai toutes les 2 à 3 minutes avec un login différent à chaque
fois mais dont le nom croît en ordre alphabétique.
Normalement je bannis pour une heure les IP qui ont plus de trois connexions
infructeuses mais dans ce cas, cela ne marche pas.
Y aurait-il un moyen de détecter l'IP réelle de l'attaquant ???
Merci par avance
Bonjour à tous
J'ai une petite machine sous linux Suse 10.3 avec SuFirewall2
Je subis depuis plus de 24 heures des tentatives de connexion en ssh.
Visiblement l'attaquant se cache derrière des IP forgées.
Il y a un essai toutes les 2 à 3 minutes avec un login différent à chaque
fois mais dont le nom croît en ordre alphabétique.
Normalement je bannis pour une heure les IP qui ont plus de trois connexions
infructeuses mais dans ce cas, cela ne marche pas.
Y aurait-il un moyen de détecter l'IP réelle de l'attaquant ???
Merci par avance
Bonjour à tous
J'ai une petite machine sous linux Suse 10.3 avec SuFirewall2
Je subis depuis plus de 24 heures des tentatives de connexion en ssh.
Visiblement l'attaquant se cache derrière des IP forgées.
Il y a un essai toutes les 2 à 3 minutes avec un login différent à chaque
fois mais dont le nom croît en ordre alphabétique.
Normalement je bannis pour une heure les IP qui ont plus de trois connexions
infructeuses mais dans ce cas, cela ne marche pas.
Y aurait-il un moyen de détecter l'IP réelle de l'attaquant ???
Merci par avance
Visiblement l'attaquant se cache derrière des IP forgées.
Visiblement l'attaquant se cache derrière des IP forgées.
Visiblement l'attaquant se cache derrière des IP forgées.
Visiblement l'attaquant se cache derri
Visiblement l'attaquant se cache derri
Visiblement l'attaquant se cache derri
Solution: ne jamais laisser un accès SSH avec authentification par mot de
passe ouvert sur internet.
Solution: ne jamais laisser un accès SSH avec authentification par mot de
passe ouvert sur internet.
Solution: ne jamais laisser un accès SSH avec authentification par mot de
passe ouvert sur internet.
Le 09-12-2009, ? propos de
Attaque avec adresse IP forgée,
EPiKoiEncore ?crivait dans fr.comp.securite :Bonjour à tous
Bonjour,J'ai une petite machine sous linux Suse 10.3 avec SuFirewall2
Je subis depuis plus de 24 heures des tentatives de connexion en ssh.
Visiblement l'attaquant se cache derrière des IP forgées.
Il y a un essai toutes les 2 à 3 minutes avec un login différent à chaque
fois mais dont le nom croît en ordre alphabétique.
Normalement je bannis pour une heure les IP qui ont plus de trois
connexions
infructeuses mais dans ce cas, cela ne marche pas.
Y aurait-il un moyen de détecter l'IP réelle de l'attaquant ???
Merci par avance
Est-ce que sont des vraies IP forgées ou un réseau ? Peut-on avoir
un extrait des logs ?
JKB
--
Le cerveau, c'est un véritable scandale écologique. Il représente 2% de
notre
masse corporelle, mais disperse à lui seul 25% de l'énergie que nous
consommons tous les jours.
Le 09-12-2009, ? propos de
Attaque avec adresse IP forgée,
EPiKoiEncore ?crivait dans fr.comp.securite :
Bonjour à tous
Bonjour,
J'ai une petite machine sous linux Suse 10.3 avec SuFirewall2
Je subis depuis plus de 24 heures des tentatives de connexion en ssh.
Visiblement l'attaquant se cache derrière des IP forgées.
Il y a un essai toutes les 2 à 3 minutes avec un login différent à chaque
fois mais dont le nom croît en ordre alphabétique.
Normalement je bannis pour une heure les IP qui ont plus de trois
connexions
infructeuses mais dans ce cas, cela ne marche pas.
Y aurait-il un moyen de détecter l'IP réelle de l'attaquant ???
Merci par avance
Est-ce que sont des vraies IP forgées ou un réseau ? Peut-on avoir
un extrait des logs ?
JKB
--
Le cerveau, c'est un véritable scandale écologique. Il représente 2% de
notre
masse corporelle, mais disperse à lui seul 25% de l'énergie que nous
consommons tous les jours.
Le 09-12-2009, ? propos de
Attaque avec adresse IP forgée,
EPiKoiEncore ?crivait dans fr.comp.securite :Bonjour à tous
Bonjour,J'ai une petite machine sous linux Suse 10.3 avec SuFirewall2
Je subis depuis plus de 24 heures des tentatives de connexion en ssh.
Visiblement l'attaquant se cache derrière des IP forgées.
Il y a un essai toutes les 2 à 3 minutes avec un login différent à chaque
fois mais dont le nom croît en ordre alphabétique.
Normalement je bannis pour une heure les IP qui ont plus de trois
connexions
infructeuses mais dans ce cas, cela ne marche pas.
Y aurait-il un moyen de détecter l'IP réelle de l'attaquant ???
Merci par avance
Est-ce que sont des vraies IP forgées ou un réseau ? Peut-on avoir
un extrait des logs ?
JKB
--
Le cerveau, c'est un véritable scandale écologique. Il représente 2% de
notre
masse corporelle, mais disperse à lui seul 25% de l'énergie que nous
consommons tous les jours.
On Wednesday 09 December 2009 12:30, EPiKoiEncore wrote:Visiblement l'attaquant se cache derrire des IP forges.
Si les IP étaient réellement "forgées", le connexion n'aboutirait jamais
(la poignée de main TCP ne s'établirait même pas).Y aurait-il un moyen de dtecter l'IP relle de l'attaquant ???
Sans avoir la main sur les proxies utilisées? Non.
Solution: ne jamais laisser un accès SSH avec authentification par mot de
passe ouvert sur internet.
Cordialement,
Mateusz Viste
P.S. La chose te servant de lecteur de news est mal configurée... ;-)
On Wednesday 09 December 2009 12:30, EPiKoiEncore wrote:
Visiblement l'attaquant se cache derrire des IP forges.
Si les IP étaient réellement "forgées", le connexion n'aboutirait jamais
(la poignée de main TCP ne s'établirait même pas).
Y aurait-il un moyen de dtecter l'IP relle de l'attaquant ???
Sans avoir la main sur les proxies utilisées? Non.
Solution: ne jamais laisser un accès SSH avec authentification par mot de
passe ouvert sur internet.
Cordialement,
Mateusz Viste
P.S. La chose te servant de lecteur de news est mal configurée... ;-)
On Wednesday 09 December 2009 12:30, EPiKoiEncore wrote:Visiblement l'attaquant se cache derrire des IP forges.
Si les IP étaient réellement "forgées", le connexion n'aboutirait jamais
(la poignée de main TCP ne s'établirait même pas).Y aurait-il un moyen de dtecter l'IP relle de l'attaquant ???
Sans avoir la main sur les proxies utilisées? Non.
Solution: ne jamais laisser un accès SSH avec authentification par mot de
passe ouvert sur internet.
Cordialement,
Mateusz Viste
P.S. La chose te servant de lecteur de news est mal configurée... ;-)
Voici un petit bout des logs (il y en a beaucoup plus!) :
Voici un petit bout des logs (il y en a beaucoup plus!) :
Voici un petit bout des logs (il y en a beaucoup plus!) :
C'est tout sauf une solution à la problématique posée ici. Le monsieur
ne dit pas "au secours on veut casser mon SSH", mais "y a un con qui me
gonfle". De même qu'il ne parle pas d'une attaque dictionnaire sur le
mot de passe, mais sur le nom du compte utilisateur.
C'est tout sauf une solution à la problématique posée ici. Le monsieur
ne dit pas "au secours on veut casser mon SSH", mais "y a un con qui me
gonfle". De même qu'il ne parle pas d'une attaque dictionnaire sur le
mot de passe, mais sur le nom du compte utilisateur.
C'est tout sauf une solution à la problématique posée ici. Le monsieur
ne dit pas "au secours on veut casser mon SSH", mais "y a un con qui me
gonfle". De même qu'il ne parle pas d'une attaque dictionnaire sur le
mot de passe, mais sur le nom du compte utilisateur.
Mais comment faites-vous pour vous connecter de n'importe où sur une
machine.?
Mais comment faites-vous pour vous connecter de n'importe où sur une
machine.?
Mais comment faites-vous pour vous connecter de n'importe où sur une
machine.?
Mais comment faites-vous pour vous connecter de n'importe o
Mais comment faites-vous pour vous connecter de n'importe o
Mais comment faites-vous pour vous connecter de n'importe o