Bonjour
De mon expérience avec fail2banet ssh, dans une situation similaire (NAT
derrière une box) les IP des attaquants sont celles venant de l'extérieur.
Donc si dans les logs les ip appartiennent au réseau local, c'est que
l'attaquant s'y trouve, ou bien utilise une machine locale pour
Bonjour,
C'est possible que ça vienne de l'extérieur (a l'époque ca pouvait être une
attaque par IP spoofing/paquet martien). Mais ça ne ce fait plus trop de
nos jours , les routeurs/firewall savent gérer cela
Le mar. 22 févr. 2022 à 11:50, Sil a écrit :
> Le 22/02/2022 à 09:27, Sil a écrit :
On Tuesday 22 February 2022 09:27:46 Sil wrote:
> Bonjour la liste,
> Pourriez-vous m'enlever un doute... sur un réseau local derrière une
> box, j'ai des postes w$ DHCP et un serveur Debian stable à jour. Ce
> serveur est accessible via SSH sur le réseau local via le port classique
> et depuis
Le 22/02/2022 à 09:27, Sil a écrit :
/var/log/auth.log.2.gz:Feb 7 09:34:58 monserveur sshd[]:
Disconnected from invalid user Admin 192.168.X.X port [preauth]
Mais est-ce que l'IP du fichier log peut provenir de l’extérieur ? Ou
est-ce impossible ?
Est-il possible de différencier
Sil a écrit :
> Bonjour la liste,
>
> Pourriez-vous m'enlever un doute... sur un réseau local derrière une
> box, j'ai des postes w$ DHCP et un serveur Debian stable à jour. Ce
> serveur est accessible via SSH sur le réseau local via le port classique
> et depuis l’extérieur sur un autre port via
Bonjour la liste,
Pourriez-vous m'enlever un doute... sur un réseau local derrière une
box, j'ai des postes w$ DHCP et un serveur Debian stable à jour. Ce
serveur est accessible via SSH sur le réseau local via le port classique
et depuis l’extérieur sur un autre port via le NAT de la box.
Bonsoir,
j'ai un petit routeur/serveur sous squeeze.
Aujourd'hui, je vois la diode de ma freebox qui s'affole alors que
théoriquement personne n'est connecté, je fais donc un netstat -lapute
sur mon serveur et je trouve la ligne suivante:
tcp0464 192.168.1.70:ssh
On Mon, 09 May 2011 21:07:26 +0200
luc schimpf luc...@free.fr wrote:
Bonsoir,
j'ai un petit routeur/serveur sous squeeze.
Vous l'aurez sans doute compris, je ne suis pas très calé sur la
sécurité réseau, si quelqu'un pouvait m'expliquer comment netstat peut
trouver une connexion
On Mon, May 09, 2011 at 09:07:26PM +0200,
luc schimpf luc...@free.fr wrote
a message of 41 lines which said:
tcp0464 192.168.1.70:ssh202.190.126.12:54133
ESTABLISHED root 12802
La Malaisie. C'est cool, l'Internet, on voyage.
si quelqu'un pouvait m'expliquer
Bonsoir,
En fait ta ligne veut juste dire que il y a une connexion, et que le daemon ssh
tourne en root.
Jusqu'à la, rien d'anormal.
Bonne soirée,
Andreas
On May 9, 2011, at 9:07 PM, luc schimpf wrote:
Bonsoir,
j'ai un petit routeur/serveur sous squeeze.
Aujourd'hui, je vois la diode de
Le 09/05/2011 21:13, Basile Starynkevitch a écrit
Regardes dans le fichier /var/log/auth.log
et installes fail2ban
Cordialement
À priori, la commande grep -R 202.190.126.12 /var/log/* passe
/var/log/auth.log en revu, par acquis de conscience, j'ai vérifié
manuellement mais non, il n'y a
Salut
Paul Filo a écrit :
Moi j'utilise les règles iptables suivantes qui autorisent 1 connexion
par minute (ou moins si on veut) et par ip sur le port ssh. Ca permet de
calmer les tentatives avec différents users en rafale sans géner
l'utilisation normale :
Sans gêner, c'est vite dit. Ce
Bonjour,
j'ai un serveur web que j'administre à distance via ssh (machine debian Sarge).
Tout ce qu'il y a de plus classique. J'ai vu dans mes logs auth.log des entrées
qui me paraissent suspectes. Il doit s'agir de tentatives d'attaques ssh.
Voilà ce que disent les logs :
Illegal user test from
Salut !
Ca ressemble bien a une attaque :
pour fiabiliser les choses :
1) interdire le login de root,
2) changer le port par default pour un autre que 22,
3) eventuellement installer iptable en autorisant que des adresses a toi
a passer sur le port de ssh
4) utiliser le principe des cles.
On 2006/12/05-09:06(+0100), [EMAIL PROTECTED] wrote :
Qu'est-ce que cela signifie exactement?
Comment sécuriser ssh pour éviter ces attaques?
Comment savoir si l'attaque a abouti?
Ce sont des tentatives de connexion en utilisant des comptes
classiques.
Le meilleur moyen de se protéger c'est
On 12/5/06, [EMAIL PROTECTED] [EMAIL PROTECTED] wrote:
Bonjour,
j'ai un serveur web que j'administre à distance via ssh (machine debian Sarge).
Tout ce qu'il y a de plus classique. J'ai vu dans mes logs auth.log des entrées
qui me paraissent suspectes. Il doit s'agir de tentatives d'attaques
Bonjour,
Le mardi 05 décembre 2006, Yann Lejeune a écrit...
Avec ca ton serveur sera un minimun configuré correctement. Après dès qu'on
mets un service avec authentification accessible sur internet (ssh ftp...),
il faut inévitablement s'attendre à ce que des bots, ou mêmes des
:[EMAIL PROTECTED]
Envoyé : mardi 5 décembre 2006 09:27
À : debian-user-french@lists.debian.org
Objet : Re: attaque ssh?
On 2006/12/05-09:06(+0100), [EMAIL PROTECTED] wrote :
Qu'est-ce que cela signifie exactement?
Comment sécuriser ssh pour éviter ces attaques?
Comment savoir si l'attaque
Le Mardi 5 Décembre 2006 09:26, Yann Lejeune a écrit :
On 2006/12/05-09:06(+0100), [EMAIL PROTECTED] wrote :
Avec ca ton serveur sera un minimun configuré correctement. Après dès qu'on
mets un service avec authentification accessible sur internet (ssh ftp...),
il faut inévitablement
Le Mardi 5 Décembre 2006 13:47, Laurent Besson a écrit :
Le Mardi 5 Décembre 2006 09:26, Yann Lejeune a écrit :
...
Quelqu'un m'a fait découvrir le programme knockd...
Qui permet de laisser fermé les ports sensibles SSH, FTP...
Mais lorsqu'il est invoqué avec la bonne conf, ouvre les ports
Bonjour,
Effectivement c'est une attaque, la pluipart du temps se sont des vers
qui tentent des attaques par dicitonnaire sur les ports SSH ouverts
dans des plages d'adresses. C'est très fréquent.
Si tu te sens l'âme charitable, tu peux faire un whois sur l'IP et
écrire un mail au
-BEGIN PGP SIGNED MESSAGE-
Hash: SHA1
Comment sécuriser ssh pour éviter ces attaques?
En plus des autres solutions, fail2ban, simple et efficace. Ca bloque
dans iptables l'ip de l'attaquant pour x heures après n tentatives de
connexion failed (chez moi ça bloque pour 600 heures au bout
François Boisson wrote:
Le Tue, 16 Nov 2004 19:03:17 +0100
dlist [EMAIL PROTECTED] a écrit:
[...]
J'ai envoyé un courrier complet à son FAI, aucune nouvelle.
Je suis allé au commissariat où on m'a écouté avec soin et intérêt et où
on m'a aiguillé vers un service à Paris (près de la place
Le mardi 16 nov 2004 à 20 h 01, François a dit:
Le 12738ième jour après Epoch,
[EMAIL PROTECTED] écrivait:
Bonjour la liste.
D'abord désolé de renvoyer un thread sur un sujet que j'avais déjà
abordé il y a quelques temps, mai comme je fais du ménage
régulièrement, je n'ai plus le
Le mercredi 17 nov 2004 à 08 h 56, Patrice a dit:
François Boisson wrote:
Le Tue, 16 Nov 2004 19:03:17 +0100
dlist [EMAIL PROTECTED] a écrit:
[...]
J'ai envoyé un courrier complet à son FAI, aucune nouvelle.
Je suis allé au commissariat où on m'a écouté avec soin et intérêt
et
Le 12738ième jour après Epoch,
François Boisson écrivait:
Le Tue, 16 Nov 2004 19:03:17 +0100
dlist [EMAIL PROTECTED] a écrit:
De ce fait j'en appelle à ceux qui ont de l'expérience en la matière
et j'aimerai savoir leur modus operandi.
J'avais en Décembre 2003 été victime d'une intrusion
Le 12739ième jour après Epoch,
[EMAIL PROTECTED] écrivait:
Le mardi 16 nov 2004 à 20 h 01, François a dit:
Autre chose: Essaye, juste pour rire, de ne saisir que les 8
premiers caractères d'un des mots de passes, histoire de...
(On peut toujours rêver, mais on sait jamais)
?? comprends pas
Le mercredi 17 nov 2004 à 11 h 24, François a dit:
Le mardi 16 nov 2004 à 20 h 01, François a dit:
Autre chose: Essaye, juste pour rire, de ne saisir que les 8
premiers caractères d'un des mots de passes, histoire de...
(On peut toujours rêver, mais on sait jamais)
?? comprends pas
Le mercredi 17 nov 2004 à 11 h 22, François a dit:
Le 12738ième jour après Epoch,
François Boisson écrivait:
Le Tue, 16 Nov 2004 19:03:17 +0100
dlist [EMAIL PROTECTED] a écrit:
De ce fait j'en appelle à ceux qui ont de l'expérience en la
matière et j'aimerai savoir leur modus
Le Wed, 17 Nov 2004 11:22:29 +0100
[EMAIL PROTECTED] (François TOURDE) a écrit:
Le 12738ième jour après Epoch,
François Boisson écrivait:
Le Tue, 16 Nov 2004 19:03:17 +0100
dlist [EMAIL PROTECTED] a écrit:
Je suis allé au commissariat où on m'a écouté avec soin et intérêt et
où on
Bonjour la liste.
D'abord désolé de renvoyer un thread sur un sujet que j'avais déjà
abordé il y a quelques temps, mai comme je fais du ménage
régulièrement, je n'ai plus le thread en question, d'où celui-ci..
bref.. c'est pas la police ici.
Donc je me fais attaquer régulièrement sur mon serveur
On Tue, 2004-11-16 at 19:03, dlist wrote:
Bonjour la liste.
Bonjour, ça peut aussi etre des attaques involontaires...
Un PC infecté suffit pour faire ça ...
Mais j'avoue que ce que je fais dans ces cas là, c'est que je bloque
temporairement l'IP (REJECT et non DROP dans iptables) je la débloque
Le mardi 16 nov 2004 à 19 h 12, Rakotomandimby a dit:
On Tue, 2004-11-16 at 19:03, dlist wrote:
Bonjour la liste.
Bonjour, ça peut aussi etre des attaques involontaires...
:) bon si c'est ça, alors ça va... non je déconne.. c'est comme la
loi, nul n'est sensé l'ignorer.. mais ça n'apporte
On Tue, 2004-11-16 at 19:35, dlist wrote:
est-ce vraiment la jungle?
Oui ça l'est. :-)
--
ASPO Infogérance http://aspo.rktmb.org/activites/infogerance
Unofficial FAQ fcolc http://faq.fcolc.eu.org/
LUG sur Orléans et alentours.
Tél : 02 38 76 43 65 (France)
Le mardi 16 nov 2004 à 19 h 46, Rakotomandimby a dit:
On Tue, 2004-11-16 at 19:35, dlist wrote:
est-ce vraiment la jungle?
Oui ça l'est. :-)
merci pour ces infos hyper généralistes :-)
Quoi d'autre?
Le 12738ième jour après Epoch,
[EMAIL PROTECTED] écrivait:
Bonjour la liste.
D'abord désolé de renvoyer un thread sur un sujet que j'avais déjà
abordé il y a quelques temps, mai comme je fais du ménage
régulièrement, je n'ai plus le thread en question, d'où celui-ci..
bref.. c'est pas la
On Tue, 2004-11-16 at 19:53, dlist wrote:
Quoi d'autre?
Le pape s'est converti en Protestant.
42.
--
ASPO Infogérance http://aspo.rktmb.org/activites/infogerance
Unofficial FAQ fcolc http://faq.fcolc.eu.org/
LUG sur Orléans et alentours.
Tél : 02 38 76 43 65 (France)
On Tue, Nov 16, 2004 at 08:30:01PM +0100, Rakotomandimby (R12y) Mihamina wrote:
42.
Hein? C'est la réponse à quelle question?
Y. - Don't panic
Le Tue, 16 Nov 2004 19:03:17 +0100
dlist [EMAIL PROTECTED] a écrit:
De ce fait j'en appelle à ceux qui ont de l'expérience en la matière
et j'aimerai savoir leur modus operandi.
J'avais en Décembre 2003 été victime d'une intrusion avec installation de
rootkit, etc sur mon parefeu.
J'avais
39 matches
Mail list logo