Pourriez-vous m'enlever un doute... sur un réseau local derrière une
box, j'ai des postes w$ DHCP et un serveur Debian stable Í jour. Ce
serveur est accessible via SSH sur le réseau local via le port classique
et depuis l’extérieur sur un autre port via le NAT de la box. Seule
l’authentification par clé est autorisée.
J'ai un utilisateur qui s'est plaint d'avoir été banni par Fail2ban.
Après quelques recherches dans les logs, j'ai trouvé plusieurs
tentatives de connexions SSH via des adresses locales.
Un exemple de log :
/var/log/auth.log.2.gz:Feb 7 09:34:58 monserveur sshd[XXXX]:
Disconnected from invalid user Admin 192.168.X.X port XXXX [preauth]
Est-il possible que l'attaque vienne quand même de l’extérieur ? Ou
faut-il suspecter les postes w$ ?
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Sil
Le 22/02/2022 Í 09:27, Sil a écrit :
/var/log/auth.log.2.gz:Feb 7 09:34:58 monserveur sshd[XXXX]: Disconnected from invalid user Admin 192.168.X.X port XXXX [preauth]
Mais est-ce que l'IP du fichier log peut provenir de l’extérieur ? Ou est-ce impossible ? Est-il possible de différencier les connexions nattées de la box et celles du réseau local ? Merci Sil
Le 22/02/2022 Í 09:27, Sil a écrit :
/var/log/auth.log.2.gz:Feb 7 09:34:58 monserveur sshd[XXXX]:
Disconnected from invalid user Admin 192.168.X.X port XXXX [preauth]
Mais est-ce que l'IP du fichier log peut provenir de l’extérieur ? Ou
est-ce impossible ?
Est-il possible de différencier les connexions nattées de la box et
celles du réseau local ?
/var/log/auth.log.2.gz:Feb 7 09:34:58 monserveur sshd[XXXX]: Disconnected from invalid user Admin 192.168.X.X port XXXX [preauth]
Mais est-ce que l'IP du fichier log peut provenir de l’extérieur ? Ou est-ce impossible ? Est-il possible de différencier les connexions nattées de la box et celles du réseau local ? Merci Sil
ajh-valmer
On Tuesday 22 February 2022 09:27:46 Sil wrote:
Bonjour la liste, Pourriez-vous m'enlever un doute... sur un réseau local derrière une box, j'ai des postes w$ DHCP et un serveur Debian stable Í jour. Ce serveur est accessible via SSH sur le réseau local via le port classique et depuis l’extérieur sur un autre port via le NAT de la box. Seule l’authentification par clé est autorisée. J'ai un utilisateur qui s'est plaint d'avoir été banni par Fail2ban. Après quelques recherches dans les logs, j'ai trouvé plusieurs tentatives de connexions SSH via des adresses locales. Un exemple de log : /var/log/auth.log.2.gz:Feb 7 09:34:58 monserveur sshd[XXXX]: Disconnected from invalid user Admin 192.168.X.X port XXXX [preauth] Est-il possible que l'attaque vienne quand même de l’extérieur ? Ou faut-il suspecter les postes w$ ?
Hello, J'ai un serveur, il ne faut pas trop s'inquiéter du fichier "/var/log/auth.log", ce sont des milliers de tentatives de connexion / jour, sans résultats, (souvent par une méthode automatique) si le serveur possède les outils classiques de protection, failban, firewall, connexions que par clés SSH (publique et privée)... A. Valmer
On Tuesday 22 February 2022 09:27:46 Sil wrote:
Bonjour la liste,
Pourriez-vous m'enlever un doute... sur un réseau local derrière une
box, j'ai des postes w$ DHCP et un serveur Debian stable Í jour. Ce
serveur est accessible via SSH sur le réseau local via le port classique
et depuis l’extérieur sur un autre port via le NAT de la box. Seule
l’authentification par clé est autorisée.
J'ai un utilisateur qui s'est plaint d'avoir été banni par Fail2ban.
Après quelques recherches dans les logs, j'ai trouvé plusieurs
tentatives de connexions SSH via des adresses locales.
Un exemple de log :
/var/log/auth.log.2.gz:Feb 7 09:34:58 monserveur sshd[XXXX]:
Disconnected from invalid user Admin 192.168.X.X port XXXX [preauth]
Est-il possible que l'attaque vienne quand même de l’extérieur ? Ou
faut-il suspecter les postes w$ ?
Hello,
J'ai un serveur, il ne faut pas trop s'inquiéter du fichier "/var/log/auth.log",
ce sont des milliers de tentatives de connexion / jour, sans résultats,
(souvent par une méthode automatique) si le serveur possède
les outils classiques de protection, failban, firewall, connexions que par
clés SSH (publique et privée)...
Bonjour la liste, Pourriez-vous m'enlever un doute... sur un réseau local derrière une box, j'ai des postes w$ DHCP et un serveur Debian stable Í jour. Ce serveur est accessible via SSH sur le réseau local via le port classique et depuis l’extérieur sur un autre port via le NAT de la box. Seule l’authentification par clé est autorisée. J'ai un utilisateur qui s'est plaint d'avoir été banni par Fail2ban. Après quelques recherches dans les logs, j'ai trouvé plusieurs tentatives de connexions SSH via des adresses locales. Un exemple de log : /var/log/auth.log.2.gz:Feb 7 09:34:58 monserveur sshd[XXXX]: Disconnected from invalid user Admin 192.168.X.X port XXXX [preauth] Est-il possible que l'attaque vienne quand même de l’extérieur ? Ou faut-il suspecter les postes w$ ?
Hello, J'ai un serveur, il ne faut pas trop s'inquiéter du fichier "/var/log/auth.log", ce sont des milliers de tentatives de connexion / jour, sans résultats, (souvent par une méthode automatique) si le serveur possède les outils classiques de protection, failban, firewall, connexions que par clés SSH (publique et privée)... A. Valmer
