le Sat, Nov 06, 2004 at 04:54:17PM +0100, dlist a ecrit: > Bonjour. > Alors que je parcourais mes logs, voici ce que j'aper�ois dans > /var/log/auth.log: > Nov 5 14:26:52 cacao sshd[4842]: Illegal user test from 211.252.9.126 > Mes questions: > 1) est-ce une attaque connue? si oui par quel m�chant robot?
C'est effectivement une "attaque" connue. En fait un petit programme qui teste en "force brute" le password.lst de john avec des logins classsiques. Un exemple: http://www.k-otik.com/exploits/08202004.brutessh2.c.php Bien sur la liste a du evoluer dans les milieux autorises ;-) Donc pas de risque si tes couples login/password n'ont pas de chance de se voir mis dans la liste... > pourquoi > les logs reportent des ports �lev�s (genre 44756) alors que le service > ssh tourne sur le 22? En fait c'est pas ports de connection sur _ta_ machines qui sont loggue, mais les ports de depart des paquets, donc des ports ouvert par le programme "de test" et donc generalement eleves. > 2) comment s'en pr�munir sachant que je dois avoir un acc�s ssh de > l'ext�rieur? Pas moyen, ou alors tu deplace sshd sur un port non standard. Mais c'est plus handicapant pour toi... > 3) dois-je me soucier d'autre(s) chose(s) :-) ? Sans doute ;-) sinon ca serait pas drole d'avoir une machine sur internet ;-) Tus -- look 'ma a FAQ: http://wiki.debian.net/?DebianFrench [EMAIL PROTECTED]
signature.asc
Description: Digital signature
