Machine scanée, tentatice d'accès par ssh dénié et relay smtp refusé
6 réponses
Christophe Lincoln
Bonjour la liste,
2 petites quetions, ma machine serveur est régulièrement scannée,
et je reçois des rapports régulier de logcheck m'avertissant de tentatives
d'accès echouées par ssh, avec des nom d'utilisateur divers ( des milliers).
Voici un bout du rapport de logcheck concernant ssh.
System Events
=-=-=-=-=-=-=
Nov 2 15:03:55 localhost sshd[619]: scanned from ::ffff:83.16.166.190
with SSH-1.0-SSH_Version_Mapper. Don't panic.
Nov 2 15:03:55 localhost sshd[618]: Did not receive identification string
from ::ffff:83.16.166.190
Nov 2 15:28:31 localhost sshd[927]: Illegal user adm from ::ffff:134.155.48.52
Nov 2 15:28:32 localhost sshd[935]: Illegal user halt from ::ffff:134.155.48.52
Nov 2 15:28:43 localhost sshd[943]: Illegal user operator from ::ffff:134.155.48.52
Nov 2 15:28:44 localhost sshd[947]: Illegal user gopher from ::ffff:134.155.48.52
Nov 2 15:28:44 localhost sshd[951]: Illegal user dbus from ::ffff:134.155.48.52
Nov 2 15:28:51 localhost sshd[953]: Illegal user vcsa from ::ffff:134.155.48.52
Nov 2 15:28:51 localhost sshd[968]: Illegal user nscd from ::ffff:134.155.48.52
etc....etc... etc...
J' ai aussi constaté un tentative échouée d'utilisation de notre serveur comme relais!
Mais heureusement Debian est trés bien sécurisée par défaut! Merci Debian!
(je n'ai pas touché a la config de Postfix sauf pour
C'est bien une tentative de relay? Dois-je avertir quelqu'un?
Du coup j'ai installé harden, désinstallé le ftp, telnet et des services d'inetd, au profit de ssh en interdisant
la connexion ssh de root, j'utilise plutôt su. J'ai aussi configuré iptable avec firestarter pour n'ouvrir que
les ports pour Apache , ssh, et dns, mais dans un provhe avenir je vais utiliser le smtp et le pop.
Que puis-je faire de plus pour sécutisé ma Debian chérie? et surtout ssh car depuis le message du 2 nov ci-dessus
j'ai eu encore pleins de tentatives!
J'espère avoir été assez clair.
Christophe
--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
François Boisson
Christophe Lincoln a écrit:
Bonjour la liste,
2 petites quetions, ma machine serveur est régulièrement scannée, et je reçois des rapports régulier de logcheck m'avertissant de tentatives
d'accès echouées par ssh, avec des nom d'utilisateur divers ( des milliers). [...
J' ai aussi constaté un tentative échouée d'utilisation de notre serveur comme relais!
Comme tout le monde, au bout d'un certain temps tu t'habitueras. J'ai renoncé à faire des signalements, je passerais mon temps à ça. Par contre, il faut surveiller la machine.
François Boisson
PS: 800 tentatives sur ssh par semaine en gros et 6 à 7 refus de relais SMTP par jour environ
-- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Christophe Lincoln a écrit:
Bonjour la liste,
2 petites quetions, ma machine serveur est régulièrement scannée,
et je reçois des rapports régulier de logcheck m'avertissant de tentatives
d'accès echouées par ssh, avec des nom d'utilisateur divers ( des
milliers).
[...
J' ai aussi constaté un tentative échouée d'utilisation de notre serveur
comme relais!
Comme tout le monde, au bout d'un certain temps tu t'habitueras. J'ai
renoncé à faire des signalements, je passerais mon temps à ça. Par
contre, il faut surveiller la machine.
François Boisson
PS: 800 tentatives sur ssh par semaine en gros et 6 à 7 refus de relais
SMTP par jour environ
--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
2 petites quetions, ma machine serveur est régulièrement scannée, et je reçois des rapports régulier de logcheck m'avertissant de tentatives
d'accès echouées par ssh, avec des nom d'utilisateur divers ( des milliers). [...
J' ai aussi constaté un tentative échouée d'utilisation de notre serveur comme relais!
Comme tout le monde, au bout d'un certain temps tu t'habitueras. J'ai renoncé à faire des signalements, je passerais mon temps à ça. Par contre, il faut surveiller la machine.
François Boisson
PS: 800 tentatives sur ssh par semaine en gros et 6 à 7 refus de relais SMTP par jour environ
-- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
non. Une adresse à taiwan, je doute que tu obtiennes quoi que ce soit....
Du coup j'ai installé harden, désinstallé le ftp, telnet et des ser vices d'inetd, au profit de ssh en interdisant la connexion ssh de root, j'utilise plutôt su. J'ai aussi configuré i ptable avec firestarter pour n'ouvrir que les ports pour Apache , ssh, et dns, mais dans un provhe avenir je vais u tiliser le smtp et le pop.
Que puis-je faire de plus pour sécutisé ma Debian chérie? et surtou t ssh car depuis le message du 2 nov ci-dessus j'ai eu encore pleins de tentatives!
modifier les ports d'écoute? Mais il y a des ports standards, autant les utiliser; ce qui compte vraiment c'est que ton système soit à jour et bien configuré. Par contre il peut etre intéressant de loguer/droper les paquets qui viennent d'ip [de groupes d'ip] qui reviennent souvent; par ex:
whois 219.84.8.16
% [whois.apnic.net node-2] % Whois data copyright terms http://www.apnic.net/db/dbcopyright.html
inetnum: 219.84.0.0 - 219.85.255.255 netname: SONET-NET country: TW descr: Sony Network Taiwan Limited descr: 2Fl., Building E, No. 19-13, San Chung Road descr: Taipei Taiwan 115 admin-c: JC417-AP tech-c: CC115-AP status: ALLOCATED PORTABLE changed: 20031125 mnt-by: MAINT-TW-TWNIC source: APNIC
Si tu n'es pas censé recevoir de connexion de taiwan, tu drop les paquets provenant de la classe d'adresses retournée:
#iptables -t filter -A INPUT -i eth0 -s 219.84.0.0/15 -j DROP
Ou si les ip depuis lesquelles tu te connectes au ssh sont connues, tu les autorises explicitement et tu drop toutes les autres:
#iptables -t filter -A INPUT -i eth0 -s !w.x.y.z --dport 22 -j DROP
J'espère avoir été assez clair.
Christophe
++ ;)
-- ----------------------------------------------------------------------- Ma clé GPG est disponible sur http://www.keyserver.net (F15B8BAD) ----------------------------------------------------------------------- _____________________________________________________ | Protégez votre vie privée: | |||/ | - Signez/chiffrez vos messages. __| q o - p | Respectez celle des autres: | / __mn___^_/_nm__| - Masquez les destinataires de vos mailings |/ |__________________________________________________/
--=-hjIqw3D+LYb8ttfIMNYt Content-Type: application/pgp-signature; name=signature.asc Content-Description: This is a digitally signed message part
non. Une adresse à taiwan, je doute que tu obtiennes quoi que ce
soit....
Du coup j'ai installé harden, désinstallé le ftp, telnet et des ser vices d'inetd, au profit de ssh en interdisant
la connexion ssh de root, j'utilise plutôt su. J'ai aussi configuré i ptable avec firestarter pour n'ouvrir que
les ports pour Apache , ssh, et dns, mais dans un provhe avenir je vais u tiliser le smtp et le pop.
Que puis-je faire de plus pour sécutisé ma Debian chérie? et surtou t ssh car depuis le message du 2 nov ci-dessus
j'ai eu encore pleins de tentatives!
modifier les ports d'écoute? Mais il y a des ports standards, autant les
utiliser; ce qui compte vraiment c'est que ton système soit à jour et
bien configuré.
Par contre il peut etre intéressant de loguer/droper les paquets qui
viennent d'ip [de groupes d'ip] qui reviennent souvent; par ex:
whois 219.84.8.16
% [whois.apnic.net node-2]
% Whois data copyright terms http://www.apnic.net/db/dbcopyright.html
inetnum: 219.84.0.0 - 219.85.255.255
netname: SONET-NET
country: TW
descr: Sony Network Taiwan Limited
descr: 2Fl., Building E, No. 19-13, San Chung Road
descr: Taipei Taiwan 115
admin-c: JC417-AP
tech-c: CC115-AP
status: ALLOCATED PORTABLE
changed: hm-changed@apnic.net 20031125
mnt-by: MAINT-TW-TWNIC
source: APNIC
Si tu n'es pas censé recevoir de connexion de taiwan, tu drop les
paquets provenant de la classe d'adresses retournée:
#iptables -t filter -A INPUT -i eth0 -s 219.84.0.0/15 -j DROP
Ou si les ip depuis lesquelles tu te connectes au ssh sont connues, tu
les autorises explicitement et tu drop toutes les autres:
#iptables -t filter -A INPUT -i eth0 -s !w.x.y.z --dport 22 -j DROP
J'espère avoir été assez clair.
Christophe
++ ;)
--
-----------------------------------------------------------------------
Ma clé GPG est disponible sur http://www.keyserver.net (F15B8BAD)
-----------------------------------------------------------------------
_____________________________________________________
| Protégez votre vie privée: |
|||/ | - Signez/chiffrez vos messages. __|
q o - p | Respectez celle des autres: | /
__mn___^_/_nm__| - Masquez les destinataires de vos mailings |/
|__________________________________________________/
--=-hjIqw3D+LYb8ttfIMNYt
Content-Type: application/pgp-signature; name=signature.asc
Content-Description: This is a digitally signed message part
non. Une adresse à taiwan, je doute que tu obtiennes quoi que ce soit....
Du coup j'ai installé harden, désinstallé le ftp, telnet et des ser vices d'inetd, au profit de ssh en interdisant la connexion ssh de root, j'utilise plutôt su. J'ai aussi configuré i ptable avec firestarter pour n'ouvrir que les ports pour Apache , ssh, et dns, mais dans un provhe avenir je vais u tiliser le smtp et le pop.
Que puis-je faire de plus pour sécutisé ma Debian chérie? et surtou t ssh car depuis le message du 2 nov ci-dessus j'ai eu encore pleins de tentatives!
modifier les ports d'écoute? Mais il y a des ports standards, autant les utiliser; ce qui compte vraiment c'est que ton système soit à jour et bien configuré. Par contre il peut etre intéressant de loguer/droper les paquets qui viennent d'ip [de groupes d'ip] qui reviennent souvent; par ex:
whois 219.84.8.16
% [whois.apnic.net node-2] % Whois data copyright terms http://www.apnic.net/db/dbcopyright.html
inetnum: 219.84.0.0 - 219.85.255.255 netname: SONET-NET country: TW descr: Sony Network Taiwan Limited descr: 2Fl., Building E, No. 19-13, San Chung Road descr: Taipei Taiwan 115 admin-c: JC417-AP tech-c: CC115-AP status: ALLOCATED PORTABLE changed: 20031125 mnt-by: MAINT-TW-TWNIC source: APNIC
Si tu n'es pas censé recevoir de connexion de taiwan, tu drop les paquets provenant de la classe d'adresses retournée:
#iptables -t filter -A INPUT -i eth0 -s 219.84.0.0/15 -j DROP
Ou si les ip depuis lesquelles tu te connectes au ssh sont connues, tu les autorises explicitement et tu drop toutes les autres:
#iptables -t filter -A INPUT -i eth0 -s !w.x.y.z --dport 22 -j DROP
J'espère avoir été assez clair.
Christophe
++ ;)
-- ----------------------------------------------------------------------- Ma clé GPG est disponible sur http://www.keyserver.net (F15B8BAD) ----------------------------------------------------------------------- _____________________________________________________ | Protégez votre vie privée: | |||/ | - Signez/chiffrez vos messages. __| q o - p | Respectez celle des autres: | / __mn___^_/_nm__| - Masquez les destinataires de vos mailings |/ |__________________________________________________/
--=-hjIqw3D+LYb8ttfIMNYt Content-Type: application/pgp-signature; name=signature.asc Content-Description: This is a digitally signed message part
J'ajouterais que Debian mérite amplement sa réputation, de distro sécurisée.
J'crois que je pourrais même écrire un poème sur ma distro chérie
tellement je suis content d'elle.
Christophe
-- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Charles Plessy
On Mon, Nov 07, 2005 at 05:31:21PM +0100, manioul wrote :
Par contre il peut etre intéressant de loguer/droper les paquets qui viennent d'ip [de groupes d'ip] qui reviennent souvent; par ex:
Bonjour à tous,
ça fait quelques semaines que je blackliste avec shorewall les ips des machines déblatérant leur dictionnaire de mots de passe à mon serveur ssh, et j'ai configuré shorewall pour qu'il journalise les nouvelles tentatives de connexion.
Dans l'immense majorité des cas, il n'y en a pas. J'ai l'impression de perdre mon temps, mais je vais continuer un tout petit peu, pour voir si ça pourrait valoir le coup de mettre tout un sous-réseau sur liste noire.
À ce propos, n'y a-t-il pas de liste noire publique ?
-- Charles
-- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
On Mon, Nov 07, 2005 at 05:31:21PM +0100, manioul wrote :
Par contre il peut etre intéressant de loguer/droper les paquets qui
viennent d'ip [de groupes d'ip] qui reviennent souvent; par ex:
Bonjour à tous,
ça fait quelques semaines que je blackliste avec shorewall les ips des
machines déblatérant leur dictionnaire de mots de passe à mon serveur
ssh, et j'ai configuré shorewall pour qu'il journalise les nouvelles
tentatives de connexion.
Dans l'immense majorité des cas, il n'y en a pas. J'ai l'impression de
perdre mon temps, mais je vais continuer un tout petit peu, pour voir si
ça pourrait valoir le coup de mettre tout un sous-réseau sur liste
noire.
À ce propos, n'y a-t-il pas de liste noire publique ?
--
Charles
--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
On Mon, Nov 07, 2005 at 05:31:21PM +0100, manioul wrote :
Par contre il peut etre intéressant de loguer/droper les paquets qui viennent d'ip [de groupes d'ip] qui reviennent souvent; par ex:
Bonjour à tous,
ça fait quelques semaines que je blackliste avec shorewall les ips des machines déblatérant leur dictionnaire de mots de passe à mon serveur ssh, et j'ai configuré shorewall pour qu'il journalise les nouvelles tentatives de connexion.
Dans l'immense majorité des cas, il n'y en a pas. J'ai l'impression de perdre mon temps, mais je vais continuer un tout petit peu, pour voir si ça pourrait valoir le coup de mettre tout un sous-réseau sur liste noire.
À ce propos, n'y a-t-il pas de liste noire publique ?
-- Charles
-- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Claude Reveret
Le Lundi 07 Novembre 2005 23:28, christophe Lincoln (leks) a écrit :
Merci pour les réponses, je suis rassuré!
J'ajouterais que Debian mérite amplement sa réputation, de distro sécurisée.
J'crois que je pourrais même écrire un poème sur ma distro chérie
tellement je suis content d'elle.
Christophe
Vérifie tout de même que dans le fichier /etc/ssh/sshd_config la valeur PermitRootLogin est bien à no Il me semble que par défaut la valeur est à yes.
On est jamais trop prudent.
-- @+, claude
Mieux vaut s'attendre au prévisible que d'être surpris par l'inattendu. -+- Pierre Dac -+-
Le Lundi 07 Novembre 2005 23:28, christophe Lincoln (leks) a écrit :
Merci pour les réponses, je suis rassuré!
J'ajouterais que Debian mérite amplement sa réputation, de distro
sécurisée.
J'crois que je pourrais même écrire un poème sur ma distro chérie
tellement je suis content d'elle.
Christophe
Vérifie tout de même que dans le fichier
/etc/ssh/sshd_config
la valeur
PermitRootLogin est bien à no
Il me semble que par défaut la valeur est à yes.
On est jamais trop prudent.
--
@+, claude
Mieux vaut s'attendre au prévisible que d'être surpris par l'inattendu.
-+- Pierre Dac -+-