sshd

pascal

24/12/2004 à 14:20

Georges Roux a écrit :

Voila, des imbéciles font tourner des scripts ( 1 par minute, je suppose
dans une crontab )
et essayent d'acceder au serveur mimosa via ssh, bon ils se font jeter
parceque root.
cependant dans leur script ils essaient plusieurs users successivement
au cas ou un user seraient aussi sudoer.

extrait de auth.log:

Dec 20 02:07:10 mimosa sshd[7519]: Failed password for illegal user test
from ::ffff:219.239.239.235 port 42748 ssh2
Dec 20 02:07:23 mimosa sshd[7521]: Failed password for illegal user
guest from ::ffff:219.239.239.235 port 42800 ssh2
Dec 21 10:13:48 mimosa sshd[24814]: Failed password for illegal user
test from ::ffff:60.31.216.55 port 43156 ssh2
Dec 21 10:13:57 mimosa sshd[24816]: Failed password for illegal user
guest from ::ffff:60.31.216.55 port 43220 ssh2
Dec 21 10:14:00 mimosa sshd[24818]: Failed password for illegal user
admin from ::ffff:60.31.216.55 port 43351 ssh2
Dec 21 10:14:04 mimosa sshd[24820]: Failed password for illegal user
admin from ::ffff:60.31.216.55 port 43409 ssh2
Dec 21 10:14:11 mimosa sshd[24822]: Failed password for illegal user
user from ::ffff:60.31.216.55 port 43459 ssh2
Dec 21 10:14:15 mimosa sshd[24824]: Failed password for illegal user
root from ::ffff:60.31.216.55 port 43575 ssh2
Dec 21 10:14:19 mimosa sshd[24826]: Failed password for illegal user
root from ::ffff:60.31.216.55 port 43633 ssh2
Dec 21 10:14:23 mimosa sshd[24828]: Failed password for illegal user
root from ::ffff:60.31.216.55 port 43695 ssh2
Dec 21 10:14:29 mimosa sshd[24830]: Failed password for illegal user
test from ::ffff:60.31.216.55 port 43748 ssh2
Dec 21 17:07:38 mimosa sshd[27987]: Failed password for illegal user
jordan from ::ffff:194.109.122.4 port 3845 ssh2
Dec 21 17:07:39 mimosa sshd[27989]: Failed password for illegal user
michael from ::ffff:194.109.122.4 port 3865 ssh2
Dec 21 17:07:40 mimosa sshd[27991]: Failed password for illegal user
nicole from ::ffff:194.109.122.4 port 3883 ssh2
Dec 21 17:07:41 mimosa sshd[27993]: Failed password for illegal user
daniel from ::ffff:194.109.122.4 port 3904 ssh2
Dec 21 17:07:42 mimosa sshd[27995]: Failed password for illegal user
andrew from ::ffff:194.109.122.4 port 3925 ssh2
Dec 21 17:07:44 mimosa sshd[27997]: Failed password for illegal user
nathan from ::ffff:194.109.122.4 port 3944 ssh2
Dec 21 17:07:45 mimosa sshd[27999]: Failed password for illegal user
matthew from ::ffff:194.109.122.4 port 3967 ssh2
Dec 21 17:07:46 mimosa sshd[28001]: Failed password for illegal user
magic from ::ffff:194.109.122.4 port 3989 ssh2
Dec 21 17:07:47 mimosa sshd[28003]: Failed password for illegal user
lion from ::ffff:194.109.122.4 port 4009 ssh2

Je dit ils parceque IP n'est pas fixe.

Ma question, comment faire pour interdire l'acces total a une IP dont
l'authentification a echoué plus de 20 fois.
genre la mettre dans host.deny, y a t'il un script ou une configuration
de ssh qui le fasse?

Georges

Bonjour!
C'est étrange c'est le même genre d'attaque que celle décrite dans un
mail précédent qui provenait de ...côte d'ivoire!
L'attaque contre ssh2 en cette fin d'année serait elle devenue
brusquement à la mode chez les scripts kiddies ?
Pour répondre à ta question il y a un tutoriel pas mal (si tu as
netfilter) qui est une bonne (je trouve) introduction à la notion de
"pare-feu réactif" (concept dangereux) :
http://www-128.ibm.com/developerworks/edu/l-dw-linuxfw-i.html
C'est gratuit mais il faut juste s'inscrire chez ibm.
Voilà.
Pascal...Qui va aller regarder ses fichiers auth...
--
"L'avenir, c'est à l'avance qu'il faut y penser."
R. Brautigan

--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench

Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact

Georges Roux a écrit :

Voila, des imbéciles font tourner des scripts ( 1 par minute, je suppose
dans une crontab )
et essayent d'acceder au serveur mimosa via ssh, bon ils se font jeter
parceque root.
cependant dans leur script ils essaient plusieurs users successivement
au cas ou un user seraient aussi sudoer.

extrait de auth.log:

Dec 20 02:07:10 mimosa sshd[7519]: Failed password for illegal user test
from ::ffff:219.239.239.235 port 42748 ssh2
Dec 20 02:07:23 mimosa sshd[7521]: Failed password for illegal user
guest from ::ffff:219.239.239.235 port 42800 ssh2
Dec 21 10:13:48 mimosa sshd[24814]: Failed password for illegal user
test from ::ffff:60.31.216.55 port 43156 ssh2
Dec 21 10:13:57 mimosa sshd[24816]: Failed password for illegal user
guest from ::ffff:60.31.216.55 port 43220 ssh2
Dec 21 10:14:00 mimosa sshd[24818]: Failed password for illegal user
admin from ::ffff:60.31.216.55 port 43351 ssh2
Dec 21 10:14:04 mimosa sshd[24820]: Failed password for illegal user
admin from ::ffff:60.31.216.55 port 43409 ssh2
Dec 21 10:14:11 mimosa sshd[24822]: Failed password for illegal user
user from ::ffff:60.31.216.55 port 43459 ssh2
Dec 21 10:14:15 mimosa sshd[24824]: Failed password for illegal user
root from ::ffff:60.31.216.55 port 43575 ssh2
Dec 21 10:14:19 mimosa sshd[24826]: Failed password for illegal user
root from ::ffff:60.31.216.55 port 43633 ssh2
Dec 21 10:14:23 mimosa sshd[24828]: Failed password for illegal user
root from ::ffff:60.31.216.55 port 43695 ssh2
Dec 21 10:14:29 mimosa sshd[24830]: Failed password for illegal user
test from ::ffff:60.31.216.55 port 43748 ssh2
Dec 21 17:07:38 mimosa sshd[27987]: Failed password for illegal user
jordan from ::ffff:194.109.122.4 port 3845 ssh2
Dec 21 17:07:39 mimosa sshd[27989]: Failed password for illegal user
michael from ::ffff:194.109.122.4 port 3865 ssh2
Dec 21 17:07:40 mimosa sshd[27991]: Failed password for illegal user
nicole from ::ffff:194.109.122.4 port 3883 ssh2
Dec 21 17:07:41 mimosa sshd[27993]: Failed password for illegal user
daniel from ::ffff:194.109.122.4 port 3904 ssh2
Dec 21 17:07:42 mimosa sshd[27995]: Failed password for illegal user
andrew from ::ffff:194.109.122.4 port 3925 ssh2
Dec 21 17:07:44 mimosa sshd[27997]: Failed password for illegal user
nathan from ::ffff:194.109.122.4 port 3944 ssh2
Dec 21 17:07:45 mimosa sshd[27999]: Failed password for illegal user
matthew from ::ffff:194.109.122.4 port 3967 ssh2
Dec 21 17:07:46 mimosa sshd[28001]: Failed password for illegal user
magic from ::ffff:194.109.122.4 port 3989 ssh2
Dec 21 17:07:47 mimosa sshd[28003]: Failed password for illegal user
lion from ::ffff:194.109.122.4 port 4009 ssh2

Je dit ils parceque IP n'est pas fixe.

Ma question, comment faire pour interdire l'acces total a une IP dont
l'authentification a echoué plus de 20 fois.
genre la mettre dans host.deny, y a t'il un script ou une configuration
de ssh qui le fasse?

Georges

Bonjour!
C'est étrange c'est le même genre d'attaque que celle décrite dans un
mail précédent qui provenait de ...côte d'ivoire!
L'attaque contre ssh2 en cette fin d'année serait elle devenue
brusquement à la mode chez les scripts kiddies ?
Pour répondre à ta question il y a un tutoriel pas mal (si tu as
netfilter) qui est une bonne (je trouve) introduction à la notion de
"pare-feu réactif" (concept dangereux) :
http://www-128.ibm.com/developerworks/edu/l-dw-linuxfw-i.html
C'est gratuit mais il faut juste s'inscrire chez ibm.
Voilà.
Pascal...Qui va aller regarder ses fichiers auth...
--
"L'avenir, c'est à l'avance qu'il faut y penser."
R. Brautigan

--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench

Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

Vous avez filtré cet utilisateur ! Consultez son message

Georges Roux a écrit :

Voila, des imbéciles font tourner des scripts ( 1 par minute, je suppose
dans une crontab )
et essayent d'acceder au serveur mimosa via ssh, bon ils se font jeter
parceque root.
cependant dans leur script ils essaient plusieurs users successivement
au cas ou un user seraient aussi sudoer.

extrait de auth.log:

Dec 20 02:07:10 mimosa sshd[7519]: Failed password for illegal user test
from ::ffff:219.239.239.235 port 42748 ssh2
Dec 20 02:07:23 mimosa sshd[7521]: Failed password for illegal user
guest from ::ffff:219.239.239.235 port 42800 ssh2
Dec 21 10:13:48 mimosa sshd[24814]: Failed password for illegal user
test from ::ffff:60.31.216.55 port 43156 ssh2
Dec 21 10:13:57 mimosa sshd[24816]: Failed password for illegal user
guest from ::ffff:60.31.216.55 port 43220 ssh2
Dec 21 10:14:00 mimosa sshd[24818]: Failed password for illegal user
admin from ::ffff:60.31.216.55 port 43351 ssh2
Dec 21 10:14:04 mimosa sshd[24820]: Failed password for illegal user
admin from ::ffff:60.31.216.55 port 43409 ssh2
Dec 21 10:14:11 mimosa sshd[24822]: Failed password for illegal user
user from ::ffff:60.31.216.55 port 43459 ssh2
Dec 21 10:14:15 mimosa sshd[24824]: Failed password for illegal user
root from ::ffff:60.31.216.55 port 43575 ssh2
Dec 21 10:14:19 mimosa sshd[24826]: Failed password for illegal user
root from ::ffff:60.31.216.55 port 43633 ssh2
Dec 21 10:14:23 mimosa sshd[24828]: Failed password for illegal user
root from ::ffff:60.31.216.55 port 43695 ssh2
Dec 21 10:14:29 mimosa sshd[24830]: Failed password for illegal user
test from ::ffff:60.31.216.55 port 43748 ssh2
Dec 21 17:07:38 mimosa sshd[27987]: Failed password for illegal user
jordan from ::ffff:194.109.122.4 port 3845 ssh2
Dec 21 17:07:39 mimosa sshd[27989]: Failed password for illegal user
michael from ::ffff:194.109.122.4 port 3865 ssh2
Dec 21 17:07:40 mimosa sshd[27991]: Failed password for illegal user
nicole from ::ffff:194.109.122.4 port 3883 ssh2
Dec 21 17:07:41 mimosa sshd[27993]: Failed password for illegal user
daniel from ::ffff:194.109.122.4 port 3904 ssh2
Dec 21 17:07:42 mimosa sshd[27995]: Failed password for illegal user
andrew from ::ffff:194.109.122.4 port 3925 ssh2
Dec 21 17:07:44 mimosa sshd[27997]: Failed password for illegal user
nathan from ::ffff:194.109.122.4 port 3944 ssh2
Dec 21 17:07:45 mimosa sshd[27999]: Failed password for illegal user
matthew from ::ffff:194.109.122.4 port 3967 ssh2
Dec 21 17:07:46 mimosa sshd[28001]: Failed password for illegal user
magic from ::ffff:194.109.122.4 port 3989 ssh2
Dec 21 17:07:47 mimosa sshd[28003]: Failed password for illegal user
lion from ::ffff:194.109.122.4 port 4009 ssh2

Je dit ils parceque IP n'est pas fixe.

Ma question, comment faire pour interdire l'acces total a une IP dont
l'authentification a echoué plus de 20 fois.
genre la mettre dans host.deny, y a t'il un script ou une configuration
de ssh qui le fasse?

Georges

Bonjour!
C'est étrange c'est le même genre d'attaque que celle décrite dans un
mail précédent qui provenait de ...côte d'ivoire!
L'attaque contre ssh2 en cette fin d'année serait elle devenue
brusquement à la mode chez les scripts kiddies ?
Pour répondre à ta question il y a un tutoriel pas mal (si tu as
netfilter) qui est une bonne (je trouve) introduction à la notion de
"pare-feu réactif" (concept dangereux) :
http://www-128.ibm.com/developerworks/edu/l-dw-linuxfw-i.html
C'est gratuit mais il faut juste s'inscrire chez ibm.
Voilà.
Pascal...Qui va aller regarder ses fichiers auth...
--
"L'avenir, c'est à l'avance qu'il faut y penser."
R. Brautigan

--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench

Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact

Georges Roux

24/12/2004 à 15:30

IBM C'est gratuit? j'ai bien netfilter, mais j'ai aussi hosts.deny hehe
et les scripts kiddies non pas le monopole du script pas cher
Alors j'ai fait un script qui ecrit les ip des accés Failed de auth.log
dans /etc/hosts.deny

#!/bin/bash
#banip.sh

BANNEDIP="ALL: "
COUNT=`sudo grep Failed /var/log/auth.log | cut -d ' ' -f 13 | grep :: | cut -d ':' -f 4 | sort -u | wc -l`
if [ "$COUNT" -gt 0 ]
then
for IP in `sudo grep Failed /var/log/auth.log | cut -d ' ' -f 13 | grep :: | cut -d ':' -f 4 | sort -u`
do
BANNEDIP="$BANNEDIP $IP,";
done
else BANNEDIP=""
fi
echo $BANNEDIP >> /etc/hosts.deny

et je met ca dans ma crontab bon il doit y avoir encore plein de truc a
corriger
le script prend l'ip avec un seul acces rejeté pour le moment
et je pense qu'avec awk on pourrais faire mieux
Je suis preneur de toute remarque ou idée constructive

Georges
PS: Surveillez vos auth.log

pascal wrote:

Bonjour!
C'est étrange c'est le même genre d'attaque que celle décrite dans un
mail précédent qui provenait de ...côte d'ivoire!
L'attaque contre ssh2 en cette fin d'année serait elle devenue
brusquement à la mode chez les scripts kiddies ?
Pour répondre à ta question il y a un tutoriel pas mal (si tu as
netfilter) qui est une bonne (je trouve) introduction à la notion de
"pare-feu réactif" (concept dangereux) :
http://www-128.ibm.com/developerworks/edu/l-dw-linuxfw-i.html
C'est gratuit mais il faut juste s'inscrire chez ibm.
Voilà.
Pascal...Qui va aller regarder ses fichiers auth...

--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench

Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact

pascal

24/12/2004 à 16:50

Georges Roux a écrit :

IBM C'est gratuit? j'ai bien netfilter, mais j'ai aussi hosts.deny hehe
et les scripts kiddies non pas le monopole du script pas cher
Alors j'ai fait un script qui ecrit les ip des accés Failed de auth.log
dans /etc/hosts.deny

Bien...Alors quel était l'intéret de ta question ?
Pascal
--
"L'avenir, c'est à l'avance qu'il faut y penser."
R. Brautigan

--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench

Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact

Jacques L'helgoualc'h

24/12/2004 à 17:40

Bonjour,

Georges Roux a écrit, vendredi 24 décembre 2004, à 15:22 :
[...]

#!/bin/bash
#banip.sh

BANNEDIP="ALL: "
COUNT=`sudo grep Failed /var/log/auth.log | cut -d ' ' -f 13 | grep :: |
cut -d ':' -f 4 | sort -u | wc -l`

Compter les IP différentes n'est pas très utile pour tester -gt 0 ? On
peut aussi éviter le recours à sudo en utilisant le groupe (adm ?) qui
peut lire les auth.log.

COUNT="$(grep -c -F Failed /var/log/auth.log)"

On peut aussi se passer de COUNT, et tester si la liste BANNEDIP est
vide avant d'allonger hosts.deny.

if [ "$COUNT" -gt 0 ]
then
for IP in `sudo grep Failed /var/log/auth.log | cut -d ' ' -f 13 | grep ::
| cut -d ':' -f 4 | sort -u`
do
BANNEDIP="$BANNEDIP $IP,";
done
else BANNEDIP=""
fi
echo $BANNEDIP >> /etc/hosts.deny

et je met ca dans ma crontab bon il doit y avoir encore plein de truc a
corriger

Le else est inutile, et le echo final peut remonter à la fin du if,
après la boucle for. Cet echo doit être fait sous root ;)

Il faudrait supprimer les doublons avec les IP déjà bannies dans un
fichier banned_ips, puis régénérer le hosts.deny à l'aide d'un fichier
hosts.deny.proto.

En cas d'IP dynamique, ça ne servira pas beaucoup de garder longtemps
des IP précises ; il est peut-être plus facile de déterminer les IP, ou
plages d'IP, autorisées à se connecter par iptables ou/et ssh.

le script prend l'ip avec un seul acces rejeté pour le moment
et je pense qu'avec awk on pourrais faire mieux

#!/usr/bin/awk -f
BEGIN{ max_fail }
/Failed password/{ n[$13]++ }
# on pourrait vérifier si $13 ressemble à une IP, et/ou
# numéroter de droite à gauche, ici : $13 = $(NF - 3)
END {
for (x in n) {
if(n[x] > max_fail) { print x }
# ou : print x" t"n[x] pour voir le score
}
}

pascal wrote:

>Bonjour!
>C'est étrange c'est le même genre d'attaque que celle décrite dans un
>mail précédent qui provenait de ...côte d'ivoire!

Les 3 IP citées sont en Chine (2) et en Hollande ...

Bonnes fêtes,
--
Jacques L'helgoualc'h

--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench

Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact

Bonjour,

Georges Roux a écrit, vendredi 24 décembre 2004, à 15:22 :
[...]

#!/bin/bash
#banip.sh

BANNEDIP="ALL: "
COUNT=`sudo grep Failed /var/log/auth.log | cut -d ' ' -f 13 | grep :: |
cut -d ':' -f 4 | sort -u | wc -l`

Compter les IP différentes n'est pas très utile pour tester -gt 0 ? On
peut aussi éviter le recours à sudo en utilisant le groupe (adm ?) qui
peut lire les auth.log.

COUNT="$(grep -c -F Failed /var/log/auth.log)"

On peut aussi se passer de COUNT, et tester si la liste BANNEDIP est
vide avant d'allonger hosts.deny.

if [ "$COUNT" -gt 0 ]
then
for IP in `sudo grep Failed /var/log/auth.log | cut -d ' ' -f 13 | grep ::
| cut -d ':' -f 4 | sort -u`
do
BANNEDIP="$BANNEDIP $IP,";
done
else BANNEDIP=""
fi
echo $BANNEDIP >> /etc/hosts.deny

et je met ca dans ma crontab bon il doit y avoir encore plein de truc a
corriger

Le else est inutile, et le echo final peut remonter à la fin du if,
après la boucle for. Cet echo doit être fait sous root ;)

Il faudrait supprimer les doublons avec les IP déjà bannies dans un
fichier banned_ips, puis régénérer le hosts.deny à l'aide d'un fichier
hosts.deny.proto.

En cas d'IP dynamique, ça ne servira pas beaucoup de garder longtemps
des IP précises ; il est peut-être plus facile de déterminer les IP, ou
plages d'IP, autorisées à se connecter par iptables ou/et ssh.

le script prend l'ip avec un seul acces rejeté pour le moment
et je pense qu'avec awk on pourrais faire mieux

#!/usr/bin/awk -f
BEGIN{ max_fail }
/Failed password/{ n[$13]++ }
# on pourrait vérifier si $13 ressemble à une IP, et/ou
# numéroter de droite à gauche, ici : $13 = $(NF - 3)
END {
for (x in n) {
if(n[x] > max_fail) { print x }
# ou : print x" t"n[x] pour voir le score
}
}

pascal wrote:

>Bonjour!
>C'est étrange c'est le même genre d'attaque que celle décrite dans un
>mail précédent qui provenait de ...côte d'ivoire!

Les 3 IP citées sont en Chine (2) et en Hollande ...

Bonnes fêtes,
--
Jacques L'helgoualc'h

--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench

Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

Vous avez filtré cet utilisateur ! Consultez son message

Bonjour,

Georges Roux a écrit, vendredi 24 décembre 2004, à 15:22 :
[...]

#!/bin/bash
#banip.sh

BANNEDIP="ALL: "
COUNT=`sudo grep Failed /var/log/auth.log | cut -d ' ' -f 13 | grep :: |
cut -d ':' -f 4 | sort -u | wc -l`

Compter les IP différentes n'est pas très utile pour tester -gt 0 ? On
peut aussi éviter le recours à sudo en utilisant le groupe (adm ?) qui
peut lire les auth.log.

COUNT="$(grep -c -F Failed /var/log/auth.log)"

On peut aussi se passer de COUNT, et tester si la liste BANNEDIP est
vide avant d'allonger hosts.deny.

if [ "$COUNT" -gt 0 ]
then
for IP in `sudo grep Failed /var/log/auth.log | cut -d ' ' -f 13 | grep ::
| cut -d ':' -f 4 | sort -u`
do
BANNEDIP="$BANNEDIP $IP,";
done
else BANNEDIP=""
fi
echo $BANNEDIP >> /etc/hosts.deny

et je met ca dans ma crontab bon il doit y avoir encore plein de truc a
corriger

Le else est inutile, et le echo final peut remonter à la fin du if,
après la boucle for. Cet echo doit être fait sous root ;)

Il faudrait supprimer les doublons avec les IP déjà bannies dans un
fichier banned_ips, puis régénérer le hosts.deny à l'aide d'un fichier
hosts.deny.proto.

En cas d'IP dynamique, ça ne servira pas beaucoup de garder longtemps
des IP précises ; il est peut-être plus facile de déterminer les IP, ou
plages d'IP, autorisées à se connecter par iptables ou/et ssh.

le script prend l'ip avec un seul acces rejeté pour le moment
et je pense qu'avec awk on pourrais faire mieux

#!/usr/bin/awk -f
BEGIN{ max_fail }
/Failed password/{ n[$13]++ }
# on pourrait vérifier si $13 ressemble à une IP, et/ou
# numéroter de droite à gauche, ici : $13 = $(NF - 3)
END {
for (x in n) {
if(n[x] > max_fail) { print x }
# ou : print x" t"n[x] pour voir le score
}
}

pascal wrote:

>Bonjour!
>C'est étrange c'est le même genre d'attaque que celle décrite dans un
>mail précédent qui provenait de ...côte d'ivoire!

Les 3 IP citées sont en Chine (2) et en Hollande ...

Bonnes fêtes,
--
Jacques L'helgoualc'h

--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench

Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact

pascal

24/12/2004 à 20:00

Jacques L'helgoualc'h a écrit :

Les 3 IP citées sont en Chine (2) et en Hollande ...

Bonnes fêtes,

Oui...C'est l'auteur du mail qui était en côte d'ivoire...
Bonnes fêtes à tous
Pascal
--
"L'avenir, c'est à l'avance qu'il faut y penser."
R. Brautigan

--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench

Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact

Rapha

27/12/2004 à 20:10

Voila, des imbÃ©ciles font tourner des scripts ( 1 par minute, je sup pose
dans une crontab )
et essayent d'acceder au serveur mimosa via ssh, bon ils se font jeter
parceque root.
cependant dans leur script ils essaient plusieurs users successivement
au cas ou un user seraient aussi sudoer.

extrait de auth.log:

[...]

Je dit ils parceque IP n'est pas fixe.

Ma question, comment faire pour interdire l'acces total a une IP dont
l'authentification a echouÃ© plus de 20 fois.
genre la mettre dans host.deny, y a t'il un script ou une configuration
de ssh qui le fasse?

Portsentry est sans doute l'arme qu'il te faut:
http://packages.debian.org/unstable/net/portsentry

--
RaphaÃ«l 'SurcouF' Bordet
http://debianfr.net/ | surcouf at debianfr dot net

sshd

6 réponses

Veuillez sélectionner un problème