[HS] Attaque dictionnaire distribuée sur serveur ssh.
27 réponses
Charles Plessy
Bonjour tout le monde,
ça fait quelques jours qu'on est en train de tester un dictionnaire sur mon
serveur ssh, mais avec une adresse IP différente par mot. C'est très énervant
car j'utilise logcheck, qui m'envoie des tonnes de notifications du genre
suivant :
Nov 29 12:12:14 kunpuu sshd[13789]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=75.24.138.85
Nov 29 12:12:17 kunpuu sshd[13787]: error: PAM: User not known to the underlying authentication module for illegal user earl from 75.24.138.85
Nov 29 12:14:26 kunpuu sshd[13792]: pam_unix(sshd:auth): check pass; user unknown
Nov 29 12:14:26 kunpuu sshd[13792]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=218.108.238.140
Nov 29 12:14:28 kunpuu sshd[13790]: error: PAM: User not known to the underlying authentication module for illegal user earlene from 218.108.238.140
Quelqu'un connaît-t-il une bonne méthode pour se débarasser de ces tentatives
de connextion (hormis le déplacement du port 22 à une autre adresse ?) Par
exemple, existe-t-il des listes noires ?
Amicalement,
--
Charles Plessy
Tsurumi, Kanagawa, Japan
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
On Saturday 29 November 2008 05:22:55 Charles Plessy wrote:
Bonjour tout le monde,
ça fait quelques jours qu'on est en train de tester un dictionnaire sur mon serveur ssh, mais avec une adresse IP différente par mot. C'est très énervant car j'utilise logcheck, qui m'envoie des tonnes de notificatio ns du genre suivant :
Nov 29 12:12:14 kunpuu sshd[13789]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhostu.24.138 .85 Nov 29 12:12:17 kunpuu sshd[13787]: error: PAM: User not known to the underlying authentication module for illegal user earl from 75.24.138.85 Nov 29 12:14:26 kunpuu sshd[13792]: pam_unix(sshd:auth): check pass; user unknown Nov 29 12:14:26 kunpuu sshd[13792]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost!8.108.2 38.140 Nov 29 12:14:28 kunpuu sshd[13790]: error: PAM: User not known to the underlying authentication module for illegal user earlene from 218.108.238.140
Quelqu'un connaît-t-il une bonne méthode pour se débarasser de ces tentatives de connextion (hormis le déplacement du port 22 à une autre adresse ?) Par exemple, existe-t-il des listes noires ?
Amicalement,
-- Charles Plessy Tsurumi, Kanagawa, Japan
openssh-blacklist
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
On Saturday 29 November 2008 05:22:55 Charles Plessy wrote:
Bonjour tout le monde,
ça fait quelques jours qu'on est en train de tester un dictionnaire sur mon
serveur ssh, mais avec une adresse IP différente par mot. C'est très
énervant car j'utilise logcheck, qui m'envoie des tonnes de notificatio ns
du genre suivant :
Nov 29 12:12:14 kunpuu sshd[13789]: pam_unix(sshd:auth): authentication
failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=75.24.138 .85 Nov 29
12:12:17 kunpuu sshd[13787]: error: PAM: User not known to the underlying
authentication module for illegal user earl from 75.24.138.85 Nov 29
12:14:26 kunpuu sshd[13792]: pam_unix(sshd:auth): check pass; user unknown
Nov 29 12:14:26 kunpuu sshd[13792]: pam_unix(sshd:auth): authentication
failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=218.108.2 38.140 Nov 29
12:14:28 kunpuu sshd[13790]: error: PAM: User not known to the underlying
authentication module for illegal user earlene from 218.108.238.140
Quelqu'un connaît-t-il une bonne méthode pour se débarasser de ces
tentatives de connextion (hormis le déplacement du port 22 à une autre
adresse ?) Par exemple, existe-t-il des listes noires ?
Amicalement,
--
Charles Plessy
Tsurumi, Kanagawa, Japan
openssh-blacklist
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
On Saturday 29 November 2008 05:22:55 Charles Plessy wrote:
Bonjour tout le monde,
ça fait quelques jours qu'on est en train de tester un dictionnaire sur mon serveur ssh, mais avec une adresse IP différente par mot. C'est très énervant car j'utilise logcheck, qui m'envoie des tonnes de notificatio ns du genre suivant :
Nov 29 12:12:14 kunpuu sshd[13789]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhostu.24.138 .85 Nov 29 12:12:17 kunpuu sshd[13787]: error: PAM: User not known to the underlying authentication module for illegal user earl from 75.24.138.85 Nov 29 12:14:26 kunpuu sshd[13792]: pam_unix(sshd:auth): check pass; user unknown Nov 29 12:14:26 kunpuu sshd[13792]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost!8.108.2 38.140 Nov 29 12:14:28 kunpuu sshd[13790]: error: PAM: User not known to the underlying authentication module for illegal user earlene from 218.108.238.140
Quelqu'un connaît-t-il une bonne méthode pour se débarasser de ces tentatives de connextion (hormis le déplacement du port 22 à une autre adresse ?) Par exemple, existe-t-il des listes noires ?
Amicalement,
-- Charles Plessy Tsurumi, Kanagawa, Japan
openssh-blacklist
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Charles Plessy
Le Sat, Nov 29, 2008 at 05:32:31AM +0100, Thierry Chatelet a écrit :
openssh-blacklist
Ce paquet contient la liste noire des clés OpenSSH très vulnérables – voir http://www.debian.org/security/key-rollover/ – qui ont été accidentellement générées par des systèmes Debian défectueux. Il permet aux administrateurs:
- De refuser les connections avec ces clés, car il n'est pas possible de certifier que c'est bien leur propriétaire légitime qui les utilise.
- De vérifier que les utilisateurs de leur machine ne sont pas en possession de telles clés.
Par contre ce paquet – maintenant installé par défaut sur tous les systèmes Debian – n'empêche pas les connections en fonction de leur adresse IP, ni ne détecte les attaques à grands coups de dictionnaires d'identifiants et de mots de passe.
Bonne journée,
-- Charles Plessy Tsurumi, Kanagawa, Japan
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Le Sat, Nov 29, 2008 at 05:32:31AM +0100, Thierry Chatelet a écrit :
openssh-blacklist
Ce paquet contient la liste noire des clés OpenSSH très vulnérables – voir
http://www.debian.org/security/key-rollover/ – qui ont été accidentellement
générées par des systèmes Debian défectueux. Il permet aux administrateurs:
- De refuser les connections avec ces clés, car il n'est pas possible de
certifier que c'est bien leur propriétaire légitime qui les utilise.
- De vérifier que les utilisateurs de leur machine ne sont pas en possession
de telles clés.
Par contre ce paquet – maintenant installé par défaut sur tous les systèmes
Debian – n'empêche pas les connections en fonction de leur adresse IP, ni ne
détecte les attaques à grands coups de dictionnaires d'identifiants et de mots
de passe.
Bonne journée,
--
Charles Plessy
Tsurumi, Kanagawa, Japan
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
Le Sat, Nov 29, 2008 at 05:32:31AM +0100, Thierry Chatelet a écrit :
openssh-blacklist
Ce paquet contient la liste noire des clés OpenSSH très vulnérables – voir http://www.debian.org/security/key-rollover/ – qui ont été accidentellement générées par des systèmes Debian défectueux. Il permet aux administrateurs:
- De refuser les connections avec ces clés, car il n'est pas possible de certifier que c'est bien leur propriétaire légitime qui les utilise.
- De vérifier que les utilisateurs de leur machine ne sont pas en possession de telles clés.
Par contre ce paquet – maintenant installé par défaut sur tous les systèmes Debian – n'empêche pas les connections en fonction de leur adresse IP, ni ne détecte les attaques à grands coups de dictionnaires d'identifiants et de mots de passe.
Bonne journée,
-- Charles Plessy Tsurumi, Kanagawa, Japan
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Francois Mescam
Charles Plessy wrote:
Bonjour tout le monde,
Bonjour,
Quelqu'un connaît-t-il une bonne méthode pour se débarasser de ces tentatives de connextion (hormis le déplacement du port 22 à une autre adresse ?) Par exemple, existe-t-il des listes noires ?
Je connais deux outils pour limiter les tentatives :
- fail2ban : qui bloque pour une certaine durée une adresse IP suite à 5 (c'est paramétrable) tentatives infructueuses dans un temps maxi donné
- knockd : qui permet d'ouvrir un port pour une IP donnée suite à une séquence prédéterminée de tentatives sur différents ports
Amicalement,
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Charles Plessy wrote:
Bonjour tout le monde,
Bonjour,
Quelqu'un connaît-t-il une bonne méthode pour se débarasser de ces tentatives
de connextion (hormis le déplacement du port 22 à une autre adresse ?) Par
exemple, existe-t-il des listes noires ?
Je connais deux outils pour limiter les tentatives :
- fail2ban : qui bloque pour une certaine durée une adresse IP suite à 5
(c'est paramétrable) tentatives infructueuses dans un temps maxi donné
- knockd : qui permet d'ouvrir un port pour une IP donnée suite à une
séquence prédéterminée de tentatives sur différents ports
Amicalement,
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
Quelqu'un connaît-t-il une bonne méthode pour se débarasser de ces tentatives de connextion (hormis le déplacement du port 22 à une autre adresse ?) Par exemple, existe-t-il des listes noires ?
Je connais deux outils pour limiter les tentatives :
- fail2ban : qui bloque pour une certaine durée une adresse IP suite à 5 (c'est paramétrable) tentatives infructueuses dans un temps maxi donné
- knockd : qui permet d'ouvrir un port pour une IP donnée suite à une séquence prédéterminée de tentatives sur différents ports
Amicalement,
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Charles Plessy
Le Sat, Nov 29, 2008 at 08:08:19AM +0100, Francois Mescam a écrit :
Je connais deux outils pour limiter les tentatives :
- fail2ban : qui bloque pour une certaine durée une adresse IP suite à 5 (c'est paramétrable) tentatives infructueuses dans un temps maxi donné
- knockd : qui permet d'ouvrir un port pour une IP donnée suite à une séquence prédéterminée de tentatives sur différents ports
Bonjour François,
fail2ban ne fonctionnera pas puisque chaque IP n'est utilisée qu'une fois. Je pense que l'attaque est piloté depuis un de ces réseaux de zombies (« botnets »), où un maître, qui est certainement la machine parcourant le dictionnaire, coordonne une nuée de machines-esclaves.
Je pense qu'au final je vais soit bouger le port soit utiliser knockd.
Merci pour la suggestion,
-- Charles
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Le Sat, Nov 29, 2008 at 08:08:19AM +0100, Francois Mescam a écrit :
Je connais deux outils pour limiter les tentatives :
- fail2ban : qui bloque pour une certaine durée une adresse IP suite à 5
(c'est paramétrable) tentatives infructueuses dans un temps maxi donné
- knockd : qui permet d'ouvrir un port pour une IP donnée suite à une
séquence prédéterminée de tentatives sur différents ports
Bonjour François,
fail2ban ne fonctionnera pas puisque chaque IP n'est utilisée qu'une fois. Je
pense que l'attaque est piloté depuis un de ces réseaux de zombies
(« botnets »), où un maître, qui est certainement la machine parcourant le
dictionnaire, coordonne une nuée de machines-esclaves.
Je pense qu'au final je vais soit bouger le port soit utiliser knockd.
Merci pour la suggestion,
--
Charles
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
Le Sat, Nov 29, 2008 at 08:08:19AM +0100, Francois Mescam a écrit :
Je connais deux outils pour limiter les tentatives :
- fail2ban : qui bloque pour une certaine durée une adresse IP suite à 5 (c'est paramétrable) tentatives infructueuses dans un temps maxi donné
- knockd : qui permet d'ouvrir un port pour une IP donnée suite à une séquence prédéterminée de tentatives sur différents ports
Bonjour François,
fail2ban ne fonctionnera pas puisque chaque IP n'est utilisée qu'une fois. Je pense que l'attaque est piloté depuis un de ces réseaux de zombies (« botnets »), où un maître, qui est certainement la machine parcourant le dictionnaire, coordonne une nuée de machines-esclaves.
Je pense qu'au final je vais soit bouger le port soit utiliser knockd.
Merci pour la suggestion,
-- Charles
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
François Boisson
Le Sat, 29 Nov 2008 13:22:55 +0900 Charles Plessy a écrit:
Bonjour tout le monde,
ça fait quelques jours qu'on est en train de tester un dictionnaire sur mon serveur ssh, mais avec une adresse IP différente par mot. C'est très énervant car j'utilise logcheck, qui m'envoie des tonnes de notifications du genre suivant :
Nov 29 12:12:14 kunpuu sshd[13789]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhostu.24.138.85 Nov 29 12:12:17 kunpuu sshd[13787]: error: PAM: User not known to the underlying authentication module for illegal user earl from 75.24.138.85 Nov 29 12:14:26 kunpuu sshd[13792]: pam_unix(sshd:auth): check pass; user unknown Nov 29 12:14:26 kunpuu sshd[13792]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost!8.108.238.140 Nov 29 12:14:28 kunpuu sshd[13790]: error: PAM: User not known to the underlying authentication module for illegal user earlene from 218.108.238.140
Quelqu'un connaît-t-il une bonne méthode pour se débarasser de ces tentatives de connextion (hormis le déplacement du port 22 à une autre adresse ?) Par exemple, existe-t-il des listes noires ?
Sans vouloir te décourager, ça dure chez moi depuis le 23 Novembre, ça a commencé avec des logins commençant par «aadi», là j'en suis à «edwina», le tout avec un rythme pas extraordinaire mais régulier et des logs qui explosent donc.
Les machines tournent, en vrac, des IPS concernées
Bref un robot sur des milliers de machines qui scannent des milliers de machines en même temps. Qu'ils fassent joujou, le seul souci est que je m'habitue chaque matin à avoir dans le rapport des tas de bazars et je risque de passer à coté d'autre chose.
François Boisson
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Le Sat, 29 Nov 2008 13:22:55 +0900
Charles Plessy <plessy@debian.org> a écrit:
Bonjour tout le monde,
ça fait quelques jours qu'on est en train de tester un dictionnaire sur mon
serveur ssh, mais avec une adresse IP différente par mot. C'est très énervant
car j'utilise logcheck, qui m'envoie des tonnes de notifications du genre
suivant :
Nov 29 12:12:14 kunpuu sshd[13789]: pam_unix(sshd:auth): authentication
failure; logname= uid=0 euid=0 tty=ssh ruser= rhostu.24.138.85 Nov 29
12:12:17 kunpuu sshd[13787]: error: PAM: User not known to the underlying
authentication module for illegal user earl from 75.24.138.85 Nov 29
12:14:26 kunpuu sshd[13792]: pam_unix(sshd:auth): check pass; user unknown
Nov 29 12:14:26 kunpuu sshd[13792]: pam_unix(sshd:auth): authentication
failure; logname= uid=0 euid=0 tty=ssh ruser= rhost!8.108.238.140 Nov 29
12:14:28 kunpuu sshd[13790]: error: PAM: User not known to the underlying
authentication module for illegal user earlene from 218.108.238.140
Quelqu'un connaît-t-il une bonne méthode pour se débarasser de ces tentatives
de connextion (hormis le déplacement du port 22 à une autre adresse ?) Par
exemple, existe-t-il des listes noires ?
Sans vouloir te décourager, ça dure chez moi depuis le 23 Novembre, ça a
commencé avec des logins commençant par «aadi», là j'en suis à «edwina», le
tout avec un rythme pas extraordinaire mais régulier et des logs qui explosent
donc.
Les machines tournent, en vrac, des IPS concernées
Bref un robot sur des milliers de machines qui scannent des milliers de
machines en même temps. Qu'ils fassent joujou, le seul souci est que je
m'habitue chaque matin à avoir dans le rapport des tas de bazars et je risque
de passer à coté d'autre chose.
François Boisson
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
Le Sat, 29 Nov 2008 13:22:55 +0900 Charles Plessy a écrit:
Bonjour tout le monde,
ça fait quelques jours qu'on est en train de tester un dictionnaire sur mon serveur ssh, mais avec une adresse IP différente par mot. C'est très énervant car j'utilise logcheck, qui m'envoie des tonnes de notifications du genre suivant :
Nov 29 12:12:14 kunpuu sshd[13789]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhostu.24.138.85 Nov 29 12:12:17 kunpuu sshd[13787]: error: PAM: User not known to the underlying authentication module for illegal user earl from 75.24.138.85 Nov 29 12:14:26 kunpuu sshd[13792]: pam_unix(sshd:auth): check pass; user unknown Nov 29 12:14:26 kunpuu sshd[13792]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost!8.108.238.140 Nov 29 12:14:28 kunpuu sshd[13790]: error: PAM: User not known to the underlying authentication module for illegal user earlene from 218.108.238.140
Quelqu'un connaît-t-il une bonne méthode pour se débarasser de ces tentatives de connextion (hormis le déplacement du port 22 à une autre adresse ?) Par exemple, existe-t-il des listes noires ?
Sans vouloir te décourager, ça dure chez moi depuis le 23 Novembre, ça a commencé avec des logins commençant par «aadi», là j'en suis à «edwina», le tout avec un rythme pas extraordinaire mais régulier et des logs qui explosent donc.
Les machines tournent, en vrac, des IPS concernées
Bref un robot sur des milliers de machines qui scannent des milliers de machines en même temps. Qu'ils fassent joujou, le seul souci est que je m'habitue chaque matin à avoir dans le rapport des tas de bazars et je risque de passer à coté d'autre chose.
François Boisson
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Charles Plessy
Le Sat, Nov 29, 2008 at 08:27:01AM +0100, François Boisson a écrit :
Sans vouloir te décourager, ça dure chez moi depuis le 23 Novembre, ça a commencé avec des logins commençant par «aadi», là j'en suis à «edwina».
Oh, nous avons affaire aux mêmes alors : j'en suis en ce moment à « edythe » :)
le seul souci est que je m'habitue chaque matin à avoir dans le rapport des tas de bazars et je risque de passer à coté d'autre chose.
Exactement !
Bonne journée,
-- Charles Plessy Tsurumi, Kanagawa, Japan
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Le Sat, Nov 29, 2008 at 08:27:01AM +0100, François Boisson a écrit :
Sans vouloir te décourager, ça dure chez moi depuis le 23 Novembre, ça a
commencé avec des logins commençant par «aadi», là j'en suis à «edwina».
Oh, nous avons affaire aux mêmes alors : j'en suis en ce moment à « edythe » :)
le seul souci est que je m'habitue chaque matin à avoir dans le rapport des
tas de bazars et je risque de passer à coté d'autre chose.
Exactement !
Bonne journée,
--
Charles Plessy
Tsurumi, Kanagawa, Japan
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
Le Sat, Nov 29, 2008 at 08:27:01AM +0100, François Boisson a écrit :
Sans vouloir te décourager, ça dure chez moi depuis le 23 Novembre, ça a commencé avec des logins commençant par «aadi», là j'en suis à «edwina».
Oh, nous avons affaire aux mêmes alors : j'en suis en ce moment à « edythe » :)
le seul souci est que je m'habitue chaque matin à avoir dans le rapport des tas de bazars et je risque de passer à coté d'autre chose.
Exactement !
Bonne journée,
-- Charles Plessy Tsurumi, Kanagawa, Japan
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
mouss
Charles Plessy a écrit :
Bonjour tout le monde,
ça fait quelques jours qu'on est en train de tester un dictionnaire sur mon serveur ssh, mais avec une adresse IP différente par mot. C'est très énervant car j'utilise logcheck, qui m'envoie des tonnes de notifications du genre suivant :
Nov 29 12:12:14 kunpuu sshd[13789]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhostu.24.138.85 Nov 29 12:12:17 kunpuu sshd[13787]: error: PAM: User not known to the underlying authentication module for illegal user earl from 75.24.138.85 Nov 29 12:14:26 kunpuu sshd[13792]: pam_unix(sshd:auth): check pass; user unknown Nov 29 12:14:26 kunpuu sshd[13792]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost!8.108.238.140 Nov 29 12:14:28 kunpuu sshd[13790]: error: PAM: User not known to the underlying authentication module for illegal user earlene from 218.108.238.140
Quelqu'un connaît-t-il une bonne méthode pour se débarasser de ces tentatives de connextion (hormis le déplacement du port 22 à une autre adresse ?) Par exemple, existe-t-il des listes noires ?
Amicalement,
Personellement, j'utilise deux ports: - le port 22 est "privé": bloqué sauf pour des IPs spécifiques - un port "publique": ouvert à toutes les IPs (ou presque)
Pour cela, il suffit de rajouter une deuxième ligne "Port ..." dans la conf d'openssh, et de faire des règles iptables (ou pf sur un BSD).
Un attaquant acharné pourra certainement trouver le port "publique", mais si on se débarasse des automates triviaux, c'est déjà ça.
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Charles Plessy a écrit :
Bonjour tout le monde,
ça fait quelques jours qu'on est en train de tester un dictionnaire sur mon
serveur ssh, mais avec une adresse IP différente par mot. C'est très énervant
car j'utilise logcheck, qui m'envoie des tonnes de notifications du genre
suivant :
Nov 29 12:12:14 kunpuu sshd[13789]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhostu.24.138.85
Nov 29 12:12:17 kunpuu sshd[13787]: error: PAM: User not known to the underlying authentication module for illegal user earl from 75.24.138.85
Nov 29 12:14:26 kunpuu sshd[13792]: pam_unix(sshd:auth): check pass; user unknown
Nov 29 12:14:26 kunpuu sshd[13792]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost!8.108.238.140
Nov 29 12:14:28 kunpuu sshd[13790]: error: PAM: User not known to the underlying authentication module for illegal user earlene from 218.108.238.140
Quelqu'un connaît-t-il une bonne méthode pour se débarasser de ces tentatives
de connextion (hormis le déplacement du port 22 à une autre adresse ?) Par
exemple, existe-t-il des listes noires ?
Amicalement,
Personellement, j'utilise deux ports:
- le port 22 est "privé": bloqué sauf pour des IPs spécifiques
- un port "publique": ouvert à toutes les IPs (ou presque)
Pour cela, il suffit de rajouter une deuxième ligne "Port ..." dans la
conf d'openssh, et de faire des règles iptables (ou pf sur un BSD).
Un attaquant acharné pourra certainement trouver le port "publique",
mais si on se débarasse des automates triviaux, c'est déjà ça.
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
ça fait quelques jours qu'on est en train de tester un dictionnaire sur mon serveur ssh, mais avec une adresse IP différente par mot. C'est très énervant car j'utilise logcheck, qui m'envoie des tonnes de notifications du genre suivant :
Nov 29 12:12:14 kunpuu sshd[13789]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhostu.24.138.85 Nov 29 12:12:17 kunpuu sshd[13787]: error: PAM: User not known to the underlying authentication module for illegal user earl from 75.24.138.85 Nov 29 12:14:26 kunpuu sshd[13792]: pam_unix(sshd:auth): check pass; user unknown Nov 29 12:14:26 kunpuu sshd[13792]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost!8.108.238.140 Nov 29 12:14:28 kunpuu sshd[13790]: error: PAM: User not known to the underlying authentication module for illegal user earlene from 218.108.238.140
Quelqu'un connaît-t-il une bonne méthode pour se débarasser de ces tentatives de connextion (hormis le déplacement du port 22 à une autre adresse ?) Par exemple, existe-t-il des listes noires ?
Amicalement,
Personellement, j'utilise deux ports: - le port 22 est "privé": bloqué sauf pour des IPs spécifiques - un port "publique": ouvert à toutes les IPs (ou presque)
Pour cela, il suffit de rajouter une deuxième ligne "Port ..." dans la conf d'openssh, et de faire des règles iptables (ou pf sur un BSD).
Un attaquant acharné pourra certainement trouver le port "publique", mais si on se débarasse des automates triviaux, c'est déjà ça.
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
C'est une liste noire qui semble tout à fait indiquée. On voit d'ailleurs le pic d'attaque ayant commencé la semaine dernière sur leur page de statistiques :
http://stats.denyhosts.net/stats.html
Amicalement,
-- Charles Plessy Tsurumi, Kanagawa, Japan
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
C'est une liste noire qui semble tout à fait indiquée. On voit d'ailleurs le
pic d'attaque ayant commencé la semaine dernière sur leur page de
statistiques :
http://stats.denyhosts.net/stats.html
Amicalement,
--
Charles Plessy
Tsurumi, Kanagawa, Japan
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
C'est une liste noire qui semble tout à fait indiquée. On voit d'ailleurs le pic d'attaque ayant commencé la semaine dernière sur leur page de statistiques :
http://stats.denyhosts.net/stats.html
Amicalement,
-- Charles Plessy Tsurumi, Kanagawa, Japan
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
<br>Si vous êtes peux a utilisez SSH sur cette machine, le port-knocking me semble le plus fiable.<em></em><em></em><br>-- <br><a href="mailto:xor "></a><br>ID: 0x393F4A08<br>Fingerprint: 9170 4DD5 31D5 4C01 1EF2 9852 0DB1 A9E5 393F 4A08<br>
------=_Part_42587_12617251.1227953734225--
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Si vous êtes peux a utilisez SSH sur cette machine, le port-knocking me
semble le plus fiable.****
--
xorox5025@gmail.com
ID: 0x393F4A08
Fingerprint: 9170 4DD5 31D5 4C01 1EF2 9852 0DB1 A9E5 393F 4A08
<br>Si vous êtes peux a utilisez SSH sur cette machine, le port-knocking me semble le plus fiable.<em></em><em></em><br>-- <br><a href="mailto:xor ox5025@gmail.com">xorox5025@gmail.com</a><br>ID: 0x393F4A08<br>Fingerprint: 9170 4DD5 31D5 4C01 1EF2 9852 0DB1 A9E5 393F 4A08<br>
------=_Part_42587_12617251.1227953734225--
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
<br>Si vous êtes peux a utilisez SSH sur cette machine, le port-knocking me semble le plus fiable.<em></em><em></em><br>-- <br><a href="mailto:xor "></a><br>ID: 0x393F4A08<br>Fingerprint: 9170 4DD5 31D5 4C01 1EF2 9852 0DB1 A9E5 393F 4A08<br>
------=_Part_42587_12617251.1227953734225--
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Pascal Hambourg
Salut,
François Boisson a écrit :
Charles Plessy a écrit:
ça fait quelques jours qu'on est en train de tester un dictionnaire sur mon serveur ssh, mais avec une adresse IP différente par mot.
[...]
Sans vouloir te décourager, ça dure chez moi depuis le 23 Novembre,
[...]
Les machines tournent, en vrac, des IPS concernées
[...] Je vois qu'on a les mêmes (et pour une fois ce ne sont pas des machines sous Windows, d'après la bannière du service SSH qui tourne dessus il y a pas mal de Debian). Mais en ce qui me concerne ça fait des années que ça dure, et ce n'est pas une unique tentative par addresse source mais des séries entières.
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Salut,
François Boisson a écrit :
Charles Plessy <plessy@debian.org> a écrit:
ça fait quelques jours qu'on est en train de tester un dictionnaire sur mon
serveur ssh, mais avec une adresse IP différente par mot.
[...]
Sans vouloir te décourager, ça dure chez moi depuis le 23 Novembre,
[...]
Les machines tournent, en vrac, des IPS concernées
[...]
Je vois qu'on a les mêmes (et pour une fois ce ne sont pas des machines
sous Windows, d'après la bannière du service SSH qui tourne dessus il y
a pas mal de Debian). Mais en ce qui me concerne ça fait des années que
ça dure, et ce n'est pas une unique tentative par addresse source mais
des séries entières.
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
[...] Je vois qu'on a les mêmes (et pour une fois ce ne sont pas des machines sous Windows, d'après la bannière du service SSH qui tourne dessus il y a pas mal de Debian). Mais en ce qui me concerne ça fait des années que ça dure, et ce n'est pas une unique tentative par addresse source mais des séries entières.
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
