Bonjour. Alors que je parcourais mes logs, voici ce que j'aper�ois dans /var/log/auth.log:
Nov 5 14:26:52 cacao sshd[4842]: Illegal user test from 211.252.9.126 Nov 5 14:26:53 cacao sshd[4842]: error: Could not get shadow information for NOUSER Nov 5 14:26:53 cacao sshd[4842]: Failed password for illegal user test from 211.252.9.126 port 54365 ssh2 Nov 5 14:26:56 cacao sshd[4844]: Illegal user guest from 211.252.9.126 Nov 5 14:26:56 cacao sshd[4844]: error: Could not get shadow information for NOUSER Nov 5 14:26:56 cacao sshd[4844]: Failed password for illegal user guest from 211.252.9.126 port 54515 ssh2 Nov 5 14:26:59 cacao sshd[4846]: Illegal user admin from 211.252.9.126 [etc... sur 300 lignes avec � chaque fois des username diff�rents et sur des ports diff�rents, de 40000 � 60000 environ]. plus tard: Nov 5 22:46:57 cacao sshd[11451]: error: Could not get shadow information for NOUSER Nov 5 22:46:57 cacao sshd[11451]: Failed password for illegal user apache from 210.7.65.253 port 54142 ssh2 Nov 5 22:47:02 cacao sshd[11453]: reverse mapping checking getaddrinfo for ptil-253-65-del.primus-india.net failed - POSSIBLE BREAK IN ATTEMPT! et ce par grappe pendant 5 minutes environ. Mais heureusement pas de trace de loggin succefull. Mes questions: 1) est-ce une attaque connue? si oui par quel m�chant robot? pourquoi les logs reportent des ports �lev�s (genre 44756) alors que le service ssh tourne sur le 22? 2) comment s'en pr�munir sachant que je dois avoir un acc�s ssh de l'ext�rieur? 3) dois-je me soucier d'autre(s) chose(s) :-) ? D'avance merci Info: Debian sarge , noyau 2.6.8 ssh version 3.8.1p1-8.sarge.2
