Mac OS X, des choses bizarres dans mon system.log

Le
jperrocheau
Bonjour,

Dans mon system.log (Mac OS X 10.3.5) ce jour je trouve:

Aug 23 18:54:31 xxxx xinetd[318]: START: ssh pid00 from 2.195.11.66
Aug 23 18:54:36 xxxx sshd[1600]: Illegal user test from 202.195.11.66
Aug 23 18:54:37 xxxx xinetd[318]: service ssh, IPV6_ADDRFORM
setsockopt() failed: Protocol not available (errno = 42)
Aug 23 18:54:37 xxxx xinetd[318]: START: ssh pid02 from 2.195.11.66
Aug 23 18:54:41 xxxx sshd[1602]: Illegal user guest from 202.195.11.66
Aug 23 18:54:42 Jacques-s-iMac xinetd[318]: service ssh, IPV6_ADDRFORM
setsockopt() failed: Protocol not available (errno = 42)
Aug 23 18:54:42 xxxx xinetd[318]: START: ssh pid04 from 2.195.11.66
Aug 23 18:54:45 xxxx sshd[1604]: Illegal user admin from 202.195.11.66
Aug 23 18:54:46 xxxx xinetd[318]: service ssh, IPV6_ADDRFORM
setsockopt() failed: Protocol not available (errno = 42)
Aug 23 18:54:46 xxxx xinetd[318]: START: ssh pid06 from 2.195.11.66
Aug 23 18:54:50 xxxx sshd[1606]: Illegal user admin from 202.195.11.66
Aug 23 18:54:51 xxxx xinetd[318]: service ssh, IPV6_ADDRFORM
setsockopt() failed: Protocol not available (errno = 42)
Aug 23 18:54:51 xxxx xinetd[318]: START: ssh pid08 from 2.195.11.66
Aug 23 18:54:55 xxxx sshd[1608]: Illegal user user from 202.195.11.66
Aug 23 18:54:56 xxxx xinetd[318]: service ssh, IPV6_ADDRFORM
setsockopt() failed: Protocol not available (errno = 42)
Aug 23 18:54:56 xxxx xinetd[318]: START: ssh pid10 from 2.195.11.66
Aug 23 18:55:00 xxxx sshd[1610]: Failed password for root from
202.195.11.66 port 45266 ssh2
Aug 23 18:55:01 xxxx xinetd[318]: service ssh, IPV6_ADDRFORM
setsockopt() failed: Protocol not available (errno = 42)
Aug 23 18:55:01 xxxx xinetd[318]: START: ssh pid12 from 2.195.11.66
Aug 23 18:55:05 xxxx sshd[1612]: Failed password for root from
202.195.11.66 port 45372 ssh2
Aug 23 18:55:06 xxxx xinetd[318]: service ssh, IPV6_ADDRFORM
setsockopt() failed: Protocol not available (errno = 42)
Aug 23 18:55:06 xxxx xinetd[318]: START: ssh pid14 from 2.195.11.66
Aug 23 18:55:10 xxxx sshd[1614]: Failed password for root from
202.195.11.66 port 45479 ssh2

Est-ce que les spécialistes peuvent me confirmer que c'est un petit
chinois qui se livre au jeu d'essayer de rentrer chez moi sans y
réussir ?

--
Jacques PERROCHEAU
______________________________________________________________
e-mail: mailto:jperrocheau@mac.com
Vos réponses Page 1 / 3
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Patrick Stadelmann
Le #559414
In article (Jacques Perrocheau) wrote:

Est-ce que les spécialistes peuvent me confirmer que c'est un petit
chinois qui se livre au jeu d'essayer de rentrer chez moi sans y
réussir... ?


Un chinois, je ne sais pas, mais quelqu'un en effet à l'adresse IP
202.195.11.66 essaye de se connecter sur ta machine.

Patrick
--
Patrick Stadelmann
jperrocheau
Le #559413
Patrick Stadelmann
Est-ce que les spécialistes peuvent me confirmer que c'est un petit
chinois qui se livre au jeu d'essayer de rentrer chez moi sans y
réussir... ?


Un chinois, je ne sais pas, mais quelqu'un en effet à l'adresse IP
202.195.11.66 essaye de se connecter sur ta machine.


Il n'est peut-être pas chinois en tous cas il "manipule" une machine
ici:

% [whois.apnic.net node-1]
% Whois data copyright terms http://www.apnic.net/db/dbcopyright.html

inetnum: 202.195.0.0 - 202.195.15.255
netname: NJHRI-CN
descr: ~{DO>)K.@{?FQ'QP>?T:~}
descr: Nanjing Hydraulic Research Institute
descr: Nanjing, Jiangsu 210029, China
[snip]

--
Jacques PERROCHEAU
______________________________________________________________
e-mail: mailto:


Ronald Van Assche
Le #559409
In article Jacques Perrocheau

Il n'est peut-être pas chinois en tous cas il "manipule" une machine
ici:

% [whois.apnic.net node-1]
% Whois data copyright terms http://www.apnic.net/db/dbcopyright.html

inetnum: 202.195.0.0 - 202.195.15.255


dans ce cas, un bon coup d'Ipfw et paf, les zombies cinois sont dans un
trou :

ipfw add deny tcp from 202.195.0.0/20 to any

Le netmask (/20) est là pour limiter la restriction aux IP de l'ISP
fournisseurs de zombies made in China, et sans doute a OS conçu à
Seatle.

--
http://www.neuneu.org Neu^2 de partout, Neu2 4 ever

c.demeester
Le #559171
Jacques Perrocheau
Bonjour,

Dans mon system.log (Mac OS X 10.3.5) ce jour je trouve:
[Couic]



Est-ce que les spécialistes peuvent me confirmer que c'est un petit
chinois qui se livre au jeu d'essayer de rentrer chez moi sans y
réussir... ?



C'est Apple qui essaie de remettre a jour la Kbase du robot :-))



--
Claude Demeester



jperrocheau
Le #559166
Claude Demeester
Est-ce que les spécialistes peuvent me confirmer que c'est un petit
chinois qui se livre au jeu d'essayer de rentrer chez moi sans y
réussir... ?



C'est Apple qui essaie de remettre a jour la Kbase du robot :-))


:-))

--
Jacques PERROCHEAU
______________________________________________________________
e-mail: mailto:


jperrocheau
Le #558941
Ronald Van Assche
dans ce cas, un bon coup d'Ipfw et paf, les zombies cinois sont dans un
trou :

ipfw add deny tcp from 202.195.0.0/20 to any

Le netmask (/20) est là pour limiter la restriction aux IP de l'ISP
fournisseurs de zombies made in China, et sans doute a OS conçu à
Seatle.


Oui, mais comme je ne maitrise pas toutes les subtilités de ipfw... Je
ne sais pas si on peut bien mixer usage du TdB Partage, onglet Firewall
et commandes en CLI..

Où sont conservés ces réglages ?

Il faudrait aussi que j'interdise aussi pas mal de tawainais... ;-(

--
Jacques PERROCHEAU
______________________________________________________________
e-mail: mailto:

Patrick Stadelmann
Le #558936
In article (Jacques Perrocheau) wrote:

Oui, mais comme je ne maitrise pas toutes les subtilités de ipfw... Je
ne sais pas si on peut bien mixer usage du TdB Partage, onglet Firewall
et commandes en CLI..


Non, si l'on utilise ipfw (directement ou via un utilitaire de
configuration GUI autres que les préfs système), on ne peut plus
l'utiliser depuis les préfs système.

Où sont conservés ces réglages ?


Dans /Library/Preferences pour les réglages effectués dans les préfs
système, mais le fichier utilisé par ipfw doit être ailleurs.

Il faudrait aussi que j'interdise aussi pas mal de tawainais... ;-(


Mieux vaut prendre l'option inverse : autoriser uniquement les IP,
sous-réseaux ou réseaux qui doivent pouvoir accéder à ta machine.

Patrick
--
Patrick Stadelmann
Ronald Van Assche
Le #558935
In article Jacques Perrocheau

Oui, mais comme je ne maitrise pas toutes les subtilités de ipfw... Je
ne sais pas si on peut bien mixer usage du TdB Partage, onglet Firewall
et commandes en CLI..


Euh, non c'est l'un ou l'autre , mais pas les deux ;o)
Et en cas de reboot, pour les commandes en shell, il faut recommencer à
moins de faire un script chargé au démarrage.


Où sont conservés ces réglages ?


pour le TdB surement dans une préference.

Il faudrait aussi que j'interdise aussi pas mal de tawainais... ;-(


Il te suffit de trouver le NetBlock et paf, un coup de deny va les
calmer sec.

--
http://www.neuneu.org Neu^2 de partout, Neu2 4 ever

Ronald Van Assche
Le #558934
In article Patrick Stadelmann

Non, si l'on utilise ipfw (directement ou via un utilitaire de
configuration GUI autres que les préfs système), on ne peut plus
l'utiliser depuis les préfs système.



Surtout que les pref systèmes sont 'basiques' et donc ne correspondent
pas au besoin exprimé , a savoir bannir une classe d'IP ou un netblock
complet.

Il doit y avoir des modules GUI pour administrer ipfw de manière plus
simple, je vais chercher cela dans les heures qui suivent.
Moi j'ai du bannir un ISP complet, par ce qu'un abonné à la con voulait
faire du SSH sur ma machine, la prochaine fois je le 'nmap' et gare à
son postérieur s'il est troufigné ;o)

--
http://www.neuneu.org Neu^2 de partout, Neu2 4 ever

jperrocheau
Le #558932
Patrick Stadelmann
Oui, mais comme je ne maitrise pas toutes les subtilités de ipfw... Je
ne sais pas si on peut bien mixer usage du TdB Partage, onglet Firewall
et commandes en CLI..


Non, si l'on utilise ipfw (directement ou via un utilitaire de
configuration GUI autres que les préfs système), on ne peut plus
l'utiliser depuis les préfs système.


OK, merci..

Où sont conservés ces réglages ?


Dans /Library/Preferences pour les réglages effectués dans les préfs
système,


Vu, com.apple.sharing.firewall.plist

mais le fichier utilisé par ipfw doit être ailleurs.


Quelqu'un sait ?

Il faudrait aussi que j'interdise aussi pas mal de tawainais... ;-(


Mieux vaut prendre l'option inverse : autoriser uniquement les IP,
sous-réseaux ou réseaux qui doivent pouvoir accéder à ta machine.


Pour le moment comme je ne suis pas en "connexion permanente" et que je
n'en ai pas besoin, je vais rester omme cela. Le sshd de Mac OS X 10.3.5
ne semble pas avoir de faille majeure connue. J'attends qu'Apple nous
offre un réglage du Firewall en GUI plus évolué.

--
Jacques PERROCHEAU
______________________________________________________________
e-mail: mailto:


Publicité
Poster une réponse
Anonyme