Mon mac se fait attaquer par un wanabe hackerz. Ce type essaye (d'apres mes
logs) plein de logins du genre guest, user... Malheureusement il s'est
accroché chez moi parce aue j'ai un utilisarteur qui s'appelle "test".
Heureusement que je n'ai pas mis un mot de passe trivial a cet utilisateur.
Donc, si vous laissez votre port ssh ouvert faisez gaffe au mot de passe.
Ca sert a quelque chose aue je transmette l'IP a orange-wanamou-france
telecom?
--
Sind zu sein und es seiend in einem Schiff. Fällt zu sein hat das Wasser.
Wer bleibt er? -- Heidegger
Mon mac se fait attaquer par un wanabe hackerz. Ce type essaye (d'apres mes logs) plein de logins du genre guest, user... Malheureusement il s'est accroché chez moi parce aue j'ai un utilisarteur qui s'appelle "test". Heureusement que je n'ai pas mis un mot de passe trivial a cet utilisateur.
Donc, si vous laissez votre port ssh ouvert faisez gaffe au mot de passe.
tu peux aussi limiter la possibilité de se connecter à certaines Users (voir sshd_config)
Ca sert a quelque chose aue je transmette l'IP a orange-wanamou-france telecom?
Si c'est ton FAI à toi, non, mais tu peux toujours essayer de te plaindre à l'Abuse concerné (celui du vilain). Parfois ils sont contents d'être prévenu.
Je ne peux pas connaitre son FAI puisque son adresse IP n'a pas de nom (host IP ne donne rien).
1 giga1-132 (137.194.132.254) 0.738 ms 1.951 ms 0.461 ms 2 gw-enst-cogent (137.194.4.253) 0.640 ms 0.700 ms 0.651 ms 3 g3-0-0-228.core01.par04.atlas.cogentco.com (149.6.164.1) 3.009 ms 4 verio.par04.atlas.cogentco.com (130.117.14.162) 2.019 ms 1.946 ms 5 xe-6-1-0.r21.parsfr01.fr.bb.gin.ntt.net (129.250.2.121) 2.056 ms 3.644 6 as-0.r22.amstnl02.nl.bb.gin.ntt.net (129.250.2.226) 16.000 ms 15.576 7 xe-0-2-0.r23.amstnl02.nl.bb.gin.ntt.net (129.250.2.21) 16.478 ms 8 p64-1-1-0.r20.asbnva01.us.bb.gin.ntt.net (129.250.3.252) 96.170 ms 9 ae-0.r21.asbnva01.us.bb.gin.ntt.net (129.250.2.17) 126.688 ms 105.900 10 p64-3-1-0.r20.dllstx09.us.bb.gin.ntt.net (129.250.5.24) 141.747 ms 11 as-0.r20.hstntx01.us.bb.gin.ntt.net (129.250.3.130) 149.078 ms 146.554 12 ae-0.r21.hstntx01.us.bb.gin.ntt.net (129.250.3.25) 153.684 ms 147.345 13 as-1.r21.lsanca03.us.bb.gin.ntt.net (129.250.3.121) 181.832 ms 184.804 14 po-2.r01.lsanca03.us.bb.gin.ntt.net (129.250.3.162) 188.638 ms 358.717 15 r3-ca-la1-cr2-gig6-0.nextweb.net (129.250.10.98) 183.825 ms 189.754 ms 16 r3-ca-la1-cr1.nextweb.net (207.47.115.21) 175.081 ms 177.265 ms 17 r3-ca-la1-bsr1.nextweb.net (207.47.115.30) 175.764 ms 181.592 ms 18 207.47.96.54.static.nextweb.net (207.47.96.54) 192.587 ms 181.963 ms 19 216-237-24-22.orange.nextweb.net (216.237.24.22) 187.292 ms 197.977 ms 20 205.214.225.203 (205.214.225.203) 197.588 ms 186.641 ms 186.145 ms
(Il est chez orange aussi? :) )
nextweb.net m'envoie sur une entreprise de service internet, j'espere qu'ils ne fournissent pas de services de securité...
-- Sind zu sein und es seiend in einem Schiff. Fällt zu sein hat das Wasser. Wer bleibt er? -- Heidegger
patpro ~ patrick proniewski :
In article <46c9f466$0$411$426a74cc@news.free.fr>,
Saïd <said@brian.lan> wrote:
Mon mac se fait attaquer par un wanabe hackerz. Ce type essaye (d'apres mes
logs) plein de logins du genre guest, user... Malheureusement il s'est
accroché chez moi parce aue j'ai un utilisarteur qui s'appelle "test".
Heureusement que je n'ai pas mis un mot de passe trivial a cet utilisateur.
Donc, si vous laissez votre port ssh ouvert faisez gaffe au mot de passe.
tu peux aussi limiter la possibilité de se connecter à certaines Users
(voir sshd_config)
Ca sert a quelque chose aue je transmette l'IP a orange-wanamou-france
telecom?
Si c'est ton FAI à toi, non, mais tu peux toujours essayer de te
plaindre à l'Abuse concerné (celui du vilain). Parfois ils sont contents
d'être prévenu.
Je ne peux pas connaitre son FAI puisque son adresse IP n'a pas de nom
(host IP ne donne rien).
1 giga1-132 (137.194.132.254) 0.738 ms 1.951 ms 0.461 ms
2 gw-enst-cogent (137.194.4.253) 0.640 ms 0.700 ms 0.651 ms
3 g3-0-0-228.core01.par04.atlas.cogentco.com (149.6.164.1) 3.009 ms
4 verio.par04.atlas.cogentco.com (130.117.14.162) 2.019 ms 1.946 ms
5 xe-6-1-0.r21.parsfr01.fr.bb.gin.ntt.net (129.250.2.121) 2.056 ms 3.644
6 as-0.r22.amstnl02.nl.bb.gin.ntt.net (129.250.2.226) 16.000 ms 15.576
7 xe-0-2-0.r23.amstnl02.nl.bb.gin.ntt.net (129.250.2.21) 16.478 ms
8 p64-1-1-0.r20.asbnva01.us.bb.gin.ntt.net (129.250.3.252) 96.170 ms
9 ae-0.r21.asbnva01.us.bb.gin.ntt.net (129.250.2.17) 126.688 ms 105.900
10 p64-3-1-0.r20.dllstx09.us.bb.gin.ntt.net (129.250.5.24) 141.747 ms
11 as-0.r20.hstntx01.us.bb.gin.ntt.net (129.250.3.130) 149.078 ms 146.554
12 ae-0.r21.hstntx01.us.bb.gin.ntt.net (129.250.3.25) 153.684 ms 147.345
13 as-1.r21.lsanca03.us.bb.gin.ntt.net (129.250.3.121) 181.832 ms 184.804
14 po-2.r01.lsanca03.us.bb.gin.ntt.net (129.250.3.162) 188.638 ms 358.717
15 r3-ca-la1-cr2-gig6-0.nextweb.net (129.250.10.98) 183.825 ms 189.754 ms
16 r3-ca-la1-cr1.nextweb.net (207.47.115.21) 175.081 ms 177.265 ms
17 r3-ca-la1-bsr1.nextweb.net (207.47.115.30) 175.764 ms 181.592 ms
18 207.47.96.54.static.nextweb.net (207.47.96.54) 192.587 ms 181.963 ms
19 216-237-24-22.orange.nextweb.net (216.237.24.22) 187.292 ms 197.977 ms
20 205.214.225.203 (205.214.225.203) 197.588 ms 186.641 ms 186.145 ms
(Il est chez orange aussi? :) )
nextweb.net m'envoie sur une entreprise de service internet, j'espere
qu'ils ne fournissent pas de services de securité...
--
Sind zu sein und es seiend in einem Schiff. Fällt zu sein hat das Wasser.
Wer bleibt er? -- Heidegger
Mon mac se fait attaquer par un wanabe hackerz. Ce type essaye (d'apres mes logs) plein de logins du genre guest, user... Malheureusement il s'est accroché chez moi parce aue j'ai un utilisarteur qui s'appelle "test". Heureusement que je n'ai pas mis un mot de passe trivial a cet utilisateur.
Donc, si vous laissez votre port ssh ouvert faisez gaffe au mot de passe.
tu peux aussi limiter la possibilité de se connecter à certaines Users (voir sshd_config)
Ca sert a quelque chose aue je transmette l'IP a orange-wanamou-france telecom?
Si c'est ton FAI à toi, non, mais tu peux toujours essayer de te plaindre à l'Abuse concerné (celui du vilain). Parfois ils sont contents d'être prévenu.
Je ne peux pas connaitre son FAI puisque son adresse IP n'a pas de nom (host IP ne donne rien).
1 giga1-132 (137.194.132.254) 0.738 ms 1.951 ms 0.461 ms 2 gw-enst-cogent (137.194.4.253) 0.640 ms 0.700 ms 0.651 ms 3 g3-0-0-228.core01.par04.atlas.cogentco.com (149.6.164.1) 3.009 ms 4 verio.par04.atlas.cogentco.com (130.117.14.162) 2.019 ms 1.946 ms 5 xe-6-1-0.r21.parsfr01.fr.bb.gin.ntt.net (129.250.2.121) 2.056 ms 3.644 6 as-0.r22.amstnl02.nl.bb.gin.ntt.net (129.250.2.226) 16.000 ms 15.576 7 xe-0-2-0.r23.amstnl02.nl.bb.gin.ntt.net (129.250.2.21) 16.478 ms 8 p64-1-1-0.r20.asbnva01.us.bb.gin.ntt.net (129.250.3.252) 96.170 ms 9 ae-0.r21.asbnva01.us.bb.gin.ntt.net (129.250.2.17) 126.688 ms 105.900 10 p64-3-1-0.r20.dllstx09.us.bb.gin.ntt.net (129.250.5.24) 141.747 ms 11 as-0.r20.hstntx01.us.bb.gin.ntt.net (129.250.3.130) 149.078 ms 146.554 12 ae-0.r21.hstntx01.us.bb.gin.ntt.net (129.250.3.25) 153.684 ms 147.345 13 as-1.r21.lsanca03.us.bb.gin.ntt.net (129.250.3.121) 181.832 ms 184.804 14 po-2.r01.lsanca03.us.bb.gin.ntt.net (129.250.3.162) 188.638 ms 358.717 15 r3-ca-la1-cr2-gig6-0.nextweb.net (129.250.10.98) 183.825 ms 189.754 ms 16 r3-ca-la1-cr1.nextweb.net (207.47.115.21) 175.081 ms 177.265 ms 17 r3-ca-la1-bsr1.nextweb.net (207.47.115.30) 175.764 ms 181.592 ms 18 207.47.96.54.static.nextweb.net (207.47.96.54) 192.587 ms 181.963 ms 19 216-237-24-22.orange.nextweb.net (216.237.24.22) 187.292 ms 197.977 ms 20 205.214.225.203 (205.214.225.203) 197.588 ms 186.641 ms 186.145 ms
(Il est chez orange aussi? :) )
nextweb.net m'envoie sur une entreprise de service internet, j'espere qu'ils ne fournissent pas de services de securité...
-- Sind zu sein und es seiend in einem Schiff. Fällt zu sein hat das Wasser. Wer bleibt er? -- Heidegger
Nina Popravka
On 21 Aug 2007 08:35:40 GMT, Saïd wrote:
dhcp132-209 - ~ $ host 205.214.225.203
Mouahhhhhhhh c'est une merveille, cette machine : http://205.214.225.203 :-) -- Nina
On 21 Aug 2007 08:35:40 GMT, Saïd <said@brian.lan> wrote:
dhcp132-209 - ~ $ host 205.214.225.203
Mouahhhhhhhh c'est une merveille, cette machine :
http://205.214.225.203
:-)
--
Nina
Mouahhhhhhhh c'est une merveille, cette machine : http://205.214.225.203 :-) -- Nina
Saïd
Nina Popravka :
On Tue, 21 Aug 2007 08:11:12 +0000 (UTC), Vincent Lefevre <vincent+ wrote:
Ils sont en partie responsables, et même complètement une fois prévenus. Mais comment les prévenir si le FAI ne fait rien? Et puis certains, même prévenus, s'en foutent.
C'est surtout qu'ils doivent être à peu près aussi compétents que moi pour analyser et résoudre le problème, c'est-à-dire pas compétents du tout :-) Sauf que moi, je sais que je suis nulle, donc je ne lâche pas de *nix dans le vaste monde.
Toi, tu mettrrais un firewall sur les machines des utilisateurs? et bien tu es plus competente que celui laisse grand ouvert un reseau dont certaines machines sont administrees par des novices en informatique.
-- Sind zu sein und es seiend in einem Schiff. Fällt zu sein hat das Wasser. Wer bleibt er? -- Heidegger
Nina Popravka :
On Tue, 21 Aug 2007 08:11:12 +0000 (UTC), Vincent Lefevre
<vincent+news@vinc17.org> wrote:
Ils sont en partie responsables, et même complètement une fois
prévenus. Mais comment les prévenir si le FAI ne fait rien? Et
puis certains, même prévenus, s'en foutent.
C'est surtout qu'ils doivent être à peu près aussi compétents que moi
pour analyser et résoudre le problème, c'est-à-dire pas compétents du
tout :-)
Sauf que moi, je sais que je suis nulle, donc je ne lâche pas de *nix
dans le vaste monde.
Toi, tu mettrrais un firewall sur les machines des utilisateurs? et bien tu
es plus competente que celui laisse grand ouvert un reseau dont certaines
machines sont administrees par des novices en informatique.
--
Sind zu sein und es seiend in einem Schiff. Fällt zu sein hat das Wasser.
Wer bleibt er? -- Heidegger
On Tue, 21 Aug 2007 08:11:12 +0000 (UTC), Vincent Lefevre <vincent+ wrote:
Ils sont en partie responsables, et même complètement une fois prévenus. Mais comment les prévenir si le FAI ne fait rien? Et puis certains, même prévenus, s'en foutent.
C'est surtout qu'ils doivent être à peu près aussi compétents que moi pour analyser et résoudre le problème, c'est-à-dire pas compétents du tout :-) Sauf que moi, je sais que je suis nulle, donc je ne lâche pas de *nix dans le vaste monde.
Toi, tu mettrrais un firewall sur les machines des utilisateurs? et bien tu es plus competente que celui laisse grand ouvert un reseau dont certaines machines sont administrees par des novices en informatique.
-- Sind zu sein und es seiend in einem Schiff. Fällt zu sein hat das Wasser. Wer bleibt er? -- Heidegger
patpro ~ Patrick Proniewski
In article <8e34d$46caa314$c2abfc64$, Nicolas wrote:
Saïd wrote:
Mon mac se fait attaquer par un wanabe hackerz. Ce type essaye (d'apres mes logs) plein de logins du genre guest, user... Malheureusement il s'est accroché chez moi parce aue j'ai un utilisarteur qui s'appelle "test". Heureusement que je n'ai pas mis un mot de passe trivial a cet utilisateur.
J'ai eu ca aussi. Finalement la solution la plus simple que j'ai trouve est d'utiliser mon routeur pour faire une redirection d'un port pris au hazard vers le port 22 de la machine avec le server ssh. Ce genre de hacker en culotte courte ne passe pas son temps a essayer les ports autre que 22 pour les attaques sur serveur ssh. Ils dont comme les voleurs il prennent ce qui dépasse le plus.
la solution la plus simple à quoi ? :) Si tu configures ton sshd en limitant l'accès a certains users, et ton firewall en limitant l'accès à certaines IP, tu n'as pas besoin de mettre les mains dans ton routeur. Il n'y a pas de vrai problème à se faire "brute-forcer" le sshd.
patpro
-- http://www.patpro.net/
In article <8e34d$46caa314$c2abfc64$25965@news1.tudelft.nl>,
Nicolas <na@na.na> wrote:
Saïd wrote:
Mon mac se fait attaquer par un wanabe hackerz. Ce type essaye (d'apres mes
logs) plein de logins du genre guest, user... Malheureusement il s'est
accroché chez moi parce aue j'ai un utilisarteur qui s'appelle "test".
Heureusement que je n'ai pas mis un mot de passe trivial a cet utilisateur.
J'ai eu ca aussi.
Finalement la solution la plus simple que j'ai trouve est d'utiliser mon
routeur pour faire une redirection d'un port pris au hazard vers le port
22 de la machine avec le server ssh. Ce genre de hacker en culotte
courte ne passe pas son temps a essayer les ports autre que 22 pour les
attaques sur serveur ssh. Ils dont comme les voleurs il prennent ce qui
dépasse le plus.
la solution la plus simple à quoi ? :)
Si tu configures ton sshd en limitant l'accès a certains users, et ton
firewall en limitant l'accès à certaines IP, tu n'as pas besoin de
mettre les mains dans ton routeur.
Il n'y a pas de vrai problème à se faire "brute-forcer" le sshd.
In article <8e34d$46caa314$c2abfc64$, Nicolas wrote:
Saïd wrote:
Mon mac se fait attaquer par un wanabe hackerz. Ce type essaye (d'apres mes logs) plein de logins du genre guest, user... Malheureusement il s'est accroché chez moi parce aue j'ai un utilisarteur qui s'appelle "test". Heureusement que je n'ai pas mis un mot de passe trivial a cet utilisateur.
J'ai eu ca aussi. Finalement la solution la plus simple que j'ai trouve est d'utiliser mon routeur pour faire une redirection d'un port pris au hazard vers le port 22 de la machine avec le server ssh. Ce genre de hacker en culotte courte ne passe pas son temps a essayer les ports autre que 22 pour les attaques sur serveur ssh. Ils dont comme les voleurs il prennent ce qui dépasse le plus.
la solution la plus simple à quoi ? :) Si tu configures ton sshd en limitant l'accès a certains users, et ton firewall en limitant l'accès à certaines IP, tu n'as pas besoin de mettre les mains dans ton routeur. Il n'y a pas de vrai problème à se faire "brute-forcer" le sshd.
patpro
-- http://www.patpro.net/
Saïd
patpro ~ Patrick Proniewski :
In article , Saïd wrote:
A moins que ce ne soit les logs qui soient reportes differemment suivant que l'utilisateur existe ou non.
il me semble que c'est le cas.
Ah, OK. Mais bon il peut toujours essayer. Je vais essayer de configurer ssh pour blacklister pendans un certain temps une machine qui essaye de se connecter sur un compte qui n'existe pas. Juste par souci d'hygienne.
-- Sind zu sein und es seiend in einem Schiff. Fällt zu sein hat das Wasser. Wer bleibt er? -- Heidegger
patpro ~ Patrick Proniewski :
In article <slrnfcl83k.hoi.said@dhcp132-209.enst.fr>,
Saïd <said@brian.lan> wrote:
A moins que ce ne soit les logs qui soient reportes differemment
suivant que l'utilisateur existe ou non.
il me semble que c'est le cas.
Ah, OK. Mais bon il peut toujours essayer. Je vais essayer de configurer
ssh pour blacklister pendans un certain temps une machine qui essaye de se
connecter sur un compte qui n'existe pas. Juste par souci d'hygienne.
--
Sind zu sein und es seiend in einem Schiff. Fällt zu sein hat das Wasser.
Wer bleibt er? -- Heidegger
A moins que ce ne soit les logs qui soient reportes differemment suivant que l'utilisateur existe ou non.
il me semble que c'est le cas.
Ah, OK. Mais bon il peut toujours essayer. Je vais essayer de configurer ssh pour blacklister pendans un certain temps une machine qui essaye de se connecter sur un compte qui n'existe pas. Juste par souci d'hygienne.
-- Sind zu sein und es seiend in einem Schiff. Fällt zu sein hat das Wasser. Wer bleibt er? -- Heidegger
Saïd
Nina Popravka :
On 21 Aug 2007 08:35:40 GMT, Saïd wrote:
dhcp132-209 - ~ $ host 205.214.225.203
Mouahhhhhhhh c'est une merveille, cette machine : http://205.214.225.203 :-)
??? tu dis ca parce qu'il recompile son noyau tous les jours?
-- Sind zu sein und es seiend in einem Schiff. Fällt zu sein hat das Wasser. Wer bleibt er? -- Heidegger
Nina Popravka :
On 21 Aug 2007 08:35:40 GMT, Saïd <said@brian.lan> wrote:
dhcp132-209 - ~ $ host 205.214.225.203
Mouahhhhhhhh c'est une merveille, cette machine :
http://205.214.225.203
:-)
??? tu dis ca parce qu'il recompile son noyau tous les jours?
--
Sind zu sein und es seiend in einem Schiff. Fällt zu sein hat das Wasser.
Wer bleibt er? -- Heidegger
whois est ton ami. Dans le cas présent la réponse du whois est vraiment sommaire (on pourrait fouiller plus, mais ça suffit).
L'ip "appartient" a nextweb, et est louée à Pacific Dualies sous forme d'un netblock /24 (<http://www.pacific-dualies.com/>)
tu peux donc contacter l'abuse de nextweb et celui de pacific-machin.
patpro
-- http://www.patpro.net/
Nina Popravka
On 21 Aug 2007 08:38:03 GMT, Saïd wrote:
Toi, tu mettrrais un firewall sur les machines des utilisateurs? et bien tu es plus competente que celui laisse grand ouvert un reseau dont certaines machines sont administrees par des novices en informatique
Moi je suis une femme simple, je m'occupe de n'avoir que les services nécessaires en écoute, de vérifier que les versions de ces services ne sont pas trouées, et d'avoir des logins et des pass qui ressemblent à quelque chose. Ca occupe déjà bien :-) -- Nina
On 21 Aug 2007 08:38:03 GMT, Saïd <said@brian.lan> wrote:
Toi, tu mettrrais un firewall sur les machines des utilisateurs? et bien tu
es plus competente que celui laisse grand ouvert un reseau dont certaines
machines sont administrees par des novices en informatique
Moi je suis une femme simple, je m'occupe de n'avoir que les services
nécessaires en écoute, de vérifier que les versions de ces services ne
sont pas trouées, et d'avoir des logins et des pass qui ressemblent à
quelque chose. Ca occupe déjà bien :-)
--
Nina
Toi, tu mettrrais un firewall sur les machines des utilisateurs? et bien tu es plus competente que celui laisse grand ouvert un reseau dont certaines machines sont administrees par des novices en informatique
Moi je suis une femme simple, je m'occupe de n'avoir que les services nécessaires en écoute, de vérifier que les versions de ces services ne sont pas trouées, et d'avoir des logins et des pass qui ressemblent à quelque chose. Ca occupe déjà bien :-) -- Nina
patpro ~ Patrick Proniewski
In article , Nina Popravka wrote:
On 21 Aug 2007 08:35:40 GMT, Saïd wrote:
dhcp132-209 - ~ $ host 205.214.225.203
Mouahhhhhhhh c'est une merveille, cette machine : http://205.214.225.203 :-)
on se fait rarement pirater sans raison ;) j'irai pas dire que ça se mérite, mais tu comprends l'esprit...
patpro
-- http://www.patpro.net/
In article <5v8lc35n91q2v5sbq5m114rii5etnvh60v@4ax.com>,
Nina Popravka <Nina@nospam.invalid> wrote:
On 21 Aug 2007 08:35:40 GMT, Saïd <said@brian.lan> wrote:
dhcp132-209 - ~ $ host 205.214.225.203
Mouahhhhhhhh c'est une merveille, cette machine :
http://205.214.225.203
:-)
on se fait rarement pirater sans raison ;)
j'irai pas dire que ça se mérite, mais tu comprends l'esprit...
