je crois que je suis victime d'une attaque par dictionnaire sur mon serveur
ssh depuis une adresse 64.182.37.226. Mes logs m'indiquen t l'erreur
suivante : "Invalid user ... from ..." et =E7a pendant des lignes et des
lignes, avec la m=EAme ip, et le login qui change.
J'aimerai savoir comment prot=E9ger mon ssh, pour refuser cette adresse
sp=E9cifique au moins de se connecter =E0 mon serveur ssh.
J'ai bien essay=E9 d'=E9diter le /etc/hosts.allow, mais visiblement =E7a n'=
a pas
chang=E9 grand chose...
une id=E9e ???
Jean Baptiste
--
Jean Baptiste Balleyguier
83 rue de Paris
92190 Meudon
0622194512
JBTux...un manchot au pays du Pingouin
Mon CV: http://tolkienuniversite.free.fr/jbballeyguier_CV.pdf
Bonsoir,<br><br>je crois que je suis victime d'une attaque par dictionnaire=
sur mon serveur ssh depuis une adresse <a href=3D"http://64.182.37.226">64=
.182.37.226</a>. Mes logs m'indiquen t l'erreur suivante : "Invalid us=
er ... from ..." et =E7a pendant des lignes et des lignes, avec la m=
=EAme ip, et le login qui change.
<br>J'aimerai savoir comment prot=E9ger mon ssh, pour refuser cette adresse=
sp=E9cifique au moins de se connecter =E0 mon serveur ssh.<br>J'ai bien es=
say=E9 d'=E9diter le /etc/hosts.allow, mais visiblement =E7a n'a pas chang=
=E9 grand chose...
<br>une id=E9e ???<br><br>Jean Baptiste<br clear=3D"all"><br>-- <br>Jean Ba=
ptiste Balleyguier<br>83 rue de Paris<br>92190 Meudon<br>0622194512<br><br>=
JBTux...un manchot au pays du Pingouin<br>Mon CV: <a href=3D"http://tolkien=
universite.free.fr/jbballeyguier_CV.pdf">
http://tolkienuniversite.free.fr/jbballeyguier_CV.pdf</a>
------=_Part_5720_9987311.1145396268452--
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
On Tue, Apr 18, 2006 at 11:37:48PM +0200, Jean Baptiste Balleyguier wrote:
je crois que je suis victime d'une attaque par dictionnaire sur mon serv eur ssh depuis une adresse 64.182.37.226. Mes logs m'indiquen t l'erreur suivante : "Invalid user ... from ..." et ça pendant des lignes et des lignes, avec la même ip, et le login qui change.
On Tue, Apr 18, 2006 at 11:37:48PM +0200, Jean Baptiste Balleyguier wrote:
je crois que je suis victime d'une attaque par dictionnaire sur mon serv eur
ssh depuis une adresse 64.182.37.226. Mes logs m'indiquen t l'erreur
suivante : "Invalid user ... from ..." et ça pendant des lignes et des
lignes, avec la même ip, et le login qui change.
On Tue, Apr 18, 2006 at 11:37:48PM +0200, Jean Baptiste Balleyguier wrote:
je crois que je suis victime d'une attaque par dictionnaire sur mon serv eur ssh depuis une adresse 64.182.37.226. Mes logs m'indiquen t l'erreur suivante : "Invalid user ... from ..." et ça pendant des lignes et des lignes, avec la même ip, et le login qui change.
iptables -A INPUT -p tcp -s <l'aggresseur> -j REJECT --reject-with tcp-re set
Avec encore plus de motivation, on pourrait faire un script qui suit les logs et rejete l'adresse automatiquement.
Ou alors:
iptables -A INPUT -i eth0 -p tcp --dport ssh -m state --state NEW -m recent --set --name SSH iptables -A INPUT -i eth0 -p tcp --dport ssh -m state --state NEW -m recent --update --seconds 60 --hitcount 4 --rttl --name SSH -j DROP
Pas de besoins de motivations ;)
Sauf pour le mettre la première fois en place...
... et je l'ai pas encore mis ;)
Jerome Moinet
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1
fail2ban existe sur ma testing, mais n'a plus l'air de marcher très bien.
Ha ? je n'ai pas regardé de près, il est vrai, mais il m'envoit régulièrement des mails avec les ips bloquées et je n'ai pas trouvé de tentative de connexion non bloquée dans les logs.
Tu as observé quoi comme type de dysfonctionnement ?
jerome -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.2.2 (GNU/Linux) Comment: Using GnuPG with Thunderbird - http://enigmail.mozdev.org
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
fail2ban existe sur ma testing, mais n'a plus l'air de marcher très bien.
Ha ? je n'ai pas regardé de près, il est vrai, mais il m'envoit
régulièrement des mails avec les ips bloquées et je n'ai pas trouvé de
tentative de connexion non bloquée dans les logs.
Tu as observé quoi comme type de dysfonctionnement ?
jerome
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.2.2 (GNU/Linux)
Comment: Using GnuPG with Thunderbird - http://enigmail.mozdev.org
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
fail2ban existe sur ma testing, mais n'a plus l'air de marcher très bien.
Ha ? je n'ai pas regardé de près, il est vrai, mais il m'envoit régulièrement des mails avec les ips bloquées et je n'ai pas trouvé de tentative de connexion non bloquée dans les logs.
Tu as observé quoi comme type de dysfonctionnement ?
jerome -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.2.2 (GNU/Linux) Comment: Using GnuPG with Thunderbird - http://enigmail.mozdev.org
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Philippe AMIOT
Salut,
comme outils sympas il y a scanlogd et scandetd car pour moi toute tentative de brute-force commence par un scan de ports, non !
Philippe AMIOT
Jean Baptiste Balleyguier a écrit :
Bonsoir,
je crois que je suis victime d'une attaque par dictionnaire sur mon serveur ssh depuis une adresse 64.182.37.226 <http://64.182.37.226>. Mes logs m'indiquen t l'erreur suivante : "Invalid user ... from ..." et ça pendant des lignes et des lignes, avec la même ip, et le logi n qui change. J'aimerai savoir comment protéger mon ssh, pour refuser cette adresse spécifique au moins de se connecter à mon serveur ssh. J'ai bien essayé d'éditer le /etc/hosts.allow, mais visiblement ç a n'a pas changé grand chose... une idée ???
Jean Baptiste
-- Jean Baptiste Balleyguier 83 rue de Paris 92190 Meudon 0622194512
JBTux...un manchot au pays du Pingouin Mon CV: http://tolkienuniversite.free.fr/jbballeyguier_CV.pdf
Salut,
comme outils sympas il y a scanlogd et scandetd
car pour moi toute tentative de brute-force commence par un scan de
ports, non !
Philippe AMIOT
Jean Baptiste Balleyguier a écrit :
Bonsoir,
je crois que je suis victime d'une attaque par dictionnaire sur mon
serveur ssh depuis une adresse 64.182.37.226 <http://64.182.37.226>.
Mes logs m'indiquen t l'erreur suivante : "Invalid user ... from ..."
et ça pendant des lignes et des lignes, avec la même ip, et le logi n
qui change.
J'aimerai savoir comment protéger mon ssh, pour refuser cette adresse
spécifique au moins de se connecter à mon serveur ssh.
J'ai bien essayé d'éditer le /etc/hosts.allow, mais visiblement ç a n'a
pas changé grand chose...
une idée ???
Jean Baptiste
--
Jean Baptiste Balleyguier
83 rue de Paris
92190 Meudon
0622194512
JBTux...un manchot au pays du Pingouin
Mon CV: http://tolkienuniversite.free.fr/jbballeyguier_CV.pdf
comme outils sympas il y a scanlogd et scandetd car pour moi toute tentative de brute-force commence par un scan de ports, non !
Philippe AMIOT
Jean Baptiste Balleyguier a écrit :
Bonsoir,
je crois que je suis victime d'une attaque par dictionnaire sur mon serveur ssh depuis une adresse 64.182.37.226 <http://64.182.37.226>. Mes logs m'indiquen t l'erreur suivante : "Invalid user ... from ..." et ça pendant des lignes et des lignes, avec la même ip, et le logi n qui change. J'aimerai savoir comment protéger mon ssh, pour refuser cette adresse spécifique au moins de se connecter à mon serveur ssh. J'ai bien essayé d'éditer le /etc/hosts.allow, mais visiblement ç a n'a pas changé grand chose... une idée ???
Jean Baptiste
-- Jean Baptiste Balleyguier 83 rue de Paris 92190 Meudon 0622194512
JBTux...un manchot au pays du Pingouin Mon CV: http://tolkienuniversite.free.fr/jbballeyguier_CV.pdf
nicolas
Jerome Moinet wrote:
Ha ? je n'ai pas regardé de près, il est vrai, mais il m'envoit régulièrement des mails avec les ips bloquées et je n'ai pas trouvé de tentative de connexion non bloquée dans les logs.
Tu as observé quoi comme type de dysfonctionnement ?
Il n'a plus l'air de bloquer les piratins alors qu'il le faisait avant.
nicolas patrois : pts noir asocial -- ANALPHABÈTE
M : Incapable ! Inutile ! Moi, au moins, je rapporte le courrier ! P : Je pourrais le faire aussi mais moi, je suis chargé d'y répondre au courrier
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Jerome Moinet wrote:
Ha ? je n'ai pas regardé de près, il est vrai, mais il m'envoit
régulièrement des mails avec les ips bloquées et je n'ai pas trouvé de
tentative de connexion non bloquée dans les logs.
Tu as observé quoi comme type de dysfonctionnement ?
Il n'a plus l'air de bloquer les piratins alors qu'il le faisait avant.
nicolas patrois : pts noir asocial
--
ANALPHABÈTE
M : Incapable ! Inutile ! Moi, au moins, je rapporte le courrier !
P : Je pourrais le faire aussi mais moi, je suis chargé d'y répondre au
courrier
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
Ha ? je n'ai pas regardé de près, il est vrai, mais il m'envoit régulièrement des mails avec les ips bloquées et je n'ai pas trouvé de tentative de connexion non bloquée dans les logs.
Tu as observé quoi comme type de dysfonctionnement ?
Il n'a plus l'air de bloquer les piratins alors qu'il le faisait avant.
nicolas patrois : pts noir asocial -- ANALPHABÈTE
M : Incapable ! Inutile ! Moi, au moins, je rapporte le courrier ! P : Je pourrais le faire aussi mais moi, je suis chargé d'y répondre au courrier
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Jean-Michel OLTRA
bonjour,
Le jeudi 20 avril 2006, nicolas a écrit...
Il n'a plus l'air de bloquer les piratins alors qu'il le faisait avant.
Mais quid, avec ces systèmes, des ip dynamiques ? Même en adsl les ip peuvent bouger, donc des ip sont bloquées qui ne correspondent plus à la machine de "l'assaillant".
-- jm
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
bonjour,
Le jeudi 20 avril 2006, nicolas a écrit...
Il n'a plus l'air de bloquer les piratins alors qu'il le faisait avant.
Mais quid, avec ces systèmes, des ip dynamiques ? Même en adsl les ip
peuvent bouger, donc des ip sont bloquées qui ne correspondent plus à la
machine de "l'assaillant".
--
jm
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
Il n'a plus l'air de bloquer les piratins alors qu'il le faisait avant.
Mais quid, avec ces systèmes, des ip dynamiques ? Même en adsl les ip peuvent bouger, donc des ip sont bloquées qui ne correspondent plus à la machine de "l'assaillant".
-- jm
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
nicolas
Jean-Michel OLTRA wrote:
Mais quid, avec ces systèmes, des ip dynamiques ? Même en adsl les ip peuvent bouger, donc des ip sont bloquées qui ne correspondent plus à la machine de "l'assaillant".
C'est pour ça que fail2ban bloque le boulet pendant quelques minutes, par exemple une demi heure, le temps qu'il aille voir ailleurs. Ça se règle.
nicolas patrois : pts noir asocial -- DRESSAGE
M : Je lui donne la patte... il me donne le sucre... Cronch ! Miom ! Je l’ai parfaitement conditionné, ce con...
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Jean-Michel OLTRA wrote:
Mais quid, avec ces systèmes, des ip dynamiques ? Même en adsl les ip
peuvent bouger, donc des ip sont bloquées qui ne correspondent plus à la
machine de "l'assaillant".
C'est pour ça que fail2ban bloque le boulet pendant quelques minutes,
par exemple une demi heure, le temps qu'il aille voir ailleurs. Ça se règle.
nicolas patrois : pts noir asocial
--
DRESSAGE
M : Je lui donne la patte... il me donne le sucre... Cronch ! Miom ! Je
l’ai parfaitement conditionné, ce con...
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
Mais quid, avec ces systèmes, des ip dynamiques ? Même en adsl les ip peuvent bouger, donc des ip sont bloquées qui ne correspondent plus à la machine de "l'assaillant".
C'est pour ça que fail2ban bloque le boulet pendant quelques minutes, par exemple une demi heure, le temps qu'il aille voir ailleurs. Ça se règle.
nicolas patrois : pts noir asocial -- DRESSAGE
M : Je lui donne la patte... il me donne le sucre... Cronch ! Miom ! Je l’ai parfaitement conditionné, ce con...
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Jerome Moinet
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1
Il n'a plus l'air de bloquer les piratins alors qu'il le faisait avant.
Effectivement, il marche plus si on est pas en LANG=C, cf http://bugs.debian.org/cgi-bin/bugreport.cgi?bug63391
pour résumer :
" To by-pass the problem I change in /etc/init.d/fail2ban the line :
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
Il n'a plus l'air de bloquer les piratins alors qu'il le faisait avant.
Effectivement, il marche plus si on est pas en LANG=C, cf
http://bugs.debian.org/cgi-bin/bugreport.cgi?bug63391
pour résumer :
"
To by-pass the problem I change in /etc/init.d/fail2ban the line :
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
