Le Sat, 21 Mar 2009 22:35:02 +0100 Vincent Besse <vinc...@ouhena.org> a écrit:
> On Sat, 21 Mar 2009 13:53:34 +0100 > dju` <d...@elegiac.net> wrote: > > > jul...@nura.eu a écrit : > > > Salut, > > > > > > As-tu mis un bon mot de passe root ? root123 ? > > C' était un savant mélange de chiffres/minuscules/majuscules > sur 8 caractères. Ce qui me laisse penser que c' est pas une simple > force brute de djeuns qui en est venue à bout (mais je peux tout à fait > pêcher par naïveté). D' où ma question sur comment reconnaitre une > attaque menée sur plusieurs fronts, si j' ai bien compris F. Boisson. Bizarre quand même, j'imagine que tu as changé ton mot de passe et qu'il est définitevement cramé. Dans l'épisode dont je parle, les gars ont essayé des dizaines de milliers de logins avec 2 ou 3 mots de passe, les chances de tomber sur un mot de passe bon avec le bon login sont nulles chez moi (mettons comme mes chances de gagner au loto (si j'y jouais)) Extrait des logs de l'époque (qui étaient kilométrique): Le 26 Novembre: 59.6.185.39: 1 time carlen/keyboard-interactive/pam: 1 time 59.37.75.23: 4 times broderick/keyboard-interactive/pam: 1 time cala/keyboard-interactive/pam: 1 time carlos/keyboard-interactive/pam: 1 time carmen/keyboard-interactive/pam: 1 time 59.124.224.95 (59-124-224-95.HINET-IP.hinet.net): 6 times brinley/keyboard-interactive/pam: 1 time brody/keyboard-interactive/pam: 1 time caitlyn/keyboard-interactive/pam: 1 time callista/keyboard-interactive/pam: 1 time candra/keyboard-interactive/pam: 1 time ceri/keyboard-interactive/pam: 1 time 61.4.210.33: 2 times callia/keyboard-interactive/pam: 1 time carolos/keyboard-interactive/pam: 1 time 61.47.31.130: 3 times bryant/keyboard-interactive/pam: 1 time cam/keyboard-interactive/pam: 1 time cavan/keyboard-interactive/pam: 1 time 61.135.234.7: 1 time capucine/keyboard-interactive/pam: 1 time 61.152.107.62: 1 time brittania/keyboard-interactive/pam: 1 time 61.172.200.198: 2 times le 20 décembre: 71.63.229.140 (c-71-63-229-140.hsd1.mn.comcast.net): 6 times nimrod/keyboard-interactive/pam: 1 time nituna/keyboard-interactive/pam: 1 time niyati/keyboard-interactive/pam: 1 time nodin/keyboard-interactive/pam: 1 time nora/keyboard-interactive/pam: 1 time nu/keyboard-interactive/pam: 1 time 72.66.191.175 (static-72-66-191-175.ronkva.east.verizon.net): 1 time noland/keyboard-interactive/pam: 1 time 74.95.165.97 (74-95-165-97-Philadelphia.hfc.comcastbusiness.net): 2 times ninon/keyboard-interactive/pam: 1 time noma/keyboard-interactive/pam: 1 time 75.22.172.193 (adsl-75-22-172-193.dsl.sndg02.sbcglobal.net): 3 times nina/keyboard-interactive/pam: 1 time nolan/keyboard-interactive/pam: 1 time norton/keyboard-interactive/pam: 1 time 79.120.226.174: 3 times ninarika/keyboard-interactive/pam: 1 time norris/keyboard-interactive/pam: 1 time nox/keyboard-interactive/pam: 1 time 80.34.55.88 (88.Red-80-34-55.staticIP.rima-tde.net): 1 time nydia/keyboard-interactive/pam: 1 time 80.38.150.53 (53.Red-80-38-150.staticIP.rima-tde.net): 1 time nuala/keyboard-interactive/pam: 1 time Le 31 décembre 211.138.112.242: 3 times skyla/keyboard-interactive/pam: 2 times socrates/keyboard-interactive/pam: 1 time 217.96.70.66: 4 times skylar/keyboard-interactive/pam: 1 time solana/keyboard-interactive/pam: 1 time sondra/keyboard-interactive/pam: 1 time sonya/keyboard-interactive/pam: 1 time 220.194.201.208: 1 time snowy/keyboard-interactive/pam: 1 time 221.8.255.134: 3 times skule/keyboard-interactive/pam: 1 time sohalia/keyboard-interactive/pam: 1 time sonny/keyboard-interactive/pam: 1 time J'ai eu droit à tout l'alphabet. Chaque machine faisait 3 connexions au plus et les logins étaient concertés (par ordre alphabétique). Ça s'est arrêté au premier Janvier 2009 pile. > > > > > Il est aussi possible de mettre en place l'accès SSH par clé asymétrique > > (RSA ou DSA) et de désactiver l'accès par mot de passe. > > Ca sera quelque chose dans ce goût-là après réinstallation du bouzin. > Avec sauvegarde de mon trousseau de clefs numériques sur clef USB > attachée à mon trousseau de clefs physiques. Ca devrait me permettre l' > accés SSH depuis n' importe où, à condition que j' y sois :) > > Le port-knocking, que je ne connaissais pas, me semble difficilement > compatible avec des accès mobiles. Me trompe-je? > C'est faisable mais si tu veux pouvoir y accéder à partir d'une machine windows et putty, c'est faisable (avec telnet pour toquer à la porte) mais pas pratique pratique. François Boisson -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org