Hello,
j'ai fait la mÃme constation pour les essais sur ssh (il y en a mÃme un qui a essayà pendant 2 heures)! Ca ne fait que prouver l'importance de mot de passe "fort" et de la gestion des comptes.
Ne voulant plus que ceci remplisse mes logs, j'ai cherchà (un peu) avec mon ami google pour voir si qqn n'avait pas dÃjà une solution toute faite. Bredouille, j'ai fait un petit scipt en shell que je lance toutes les 2 minutes. Ce dernier n'Ãtant pas configurable ni pas modulaire pour un sou, je ne pense pas qu'il est trÃs intÃressant de l'attacher à ce mail.
Je me suis toutefois demandà en faisant ce script les critÃres d'exclusion que je voulais utiliser. En effet, j'exÃcute purement et simplement "iptables -I INPUT -s $ip -j DROP" pour les candidats à l'exclusion. Non, ne sautez pas au plafond. Je pourrai n'interdire que le ssh, mais bon...
J'ai pris en compte que je voulais: - faire vite un "concept" (shell car je n'ai pas de connaissances suffisantes avec d'autres langages) - utiliser "auth.log" (et aussi auth.log.0 avec logrotate hebdomadaire) -> 2 semaines de "mÃmoire". - le nombre de tentatives avant de sÃvir (au pif, 6) - ne pas Ãtre exclu moi-mÃme de mon serveur pour avoir tapà les mots de passe d'autres machines :-) - pas de db autre qu'un simple fichier (cf. premier point).
Le rÃsultat est lÃ, mais la satisfaction pas trop. J'oscille entre l'envie de faire mieux et celle d'en rester lÃ. Il y a plusieurs parties qui pourrait Ãtre vraiment mieux conÃues. Je vais peut-Ãtre le refaire en perl un jour.
Il pourait Ãtre intÃressant d'avoir une sorte de DNS "à la spamhaus" pour ce genre de kiddies. Mais cela implique bcp de considÃrations de sÃcurità (histoire de ne pas faire un dÃni de service gÃnÃral) et aussi de faire des "lookup" de chaque IP nouvelle qui tente une approche.
Salutations,
Magnus
Daniel Cordey wrote:
He, he... En regardant les logs (/var/log/messages) sur une de mes machines, je suis tombe sur des tentatives de login avec ssh.
Ces essais emanent tous a partir d'adresse IPv6 (Coree, semble-t-il) et il s'agit de 'force brute'. A savoir, un nombre de noms d'utilisateurs avec des mots de passes. Ces tentatives sont quasi quotidiennes et systematiques. Naturellement, elles sont ralenties par le 'delai' observe par le sshd en cas d'insucces.
J'ai bien quelques idees pour decourager/ralentir ces essais, mais j'aimerais savoir si l'un d'entre-vous a deja un peu d'experience pour ce genre de situation. Quelle est la meilleure strategie a adopter ? Faut-il ralentir le flux, ne plus repondre, le rejeter ?
Pour ceux que ca interesses, j'ai la liste des tentatives de noms ainsi que les adresses IP.
dc _______________________________________________ gull mailing list [email protected] http://lists.alphanet.ch/mailman/listinfo/gull
_______________________________________________ gull mailing list [email protected] http://lists.alphanet.ch/mailman/listinfo/gull
