Thierry Chatelet a écrit :
Tong dans la mail list en anglais a le même problème. Quelqu' un qui connait
le problème et la langue anglaise pourrait-il l' aider. Nom do post: How can
I stop an active network connection, de Tong, en date du 2-12 à 23h et des
bricolles.
Étonnant que personne
Voilà, à chacun des 128 domaines moins les 15 gérés par des abrutis qui
utilisent des listes noires à la c.. me considèrant comme un spammeur,
j'ai envoyé un mail avec les machines concernées (souvent guère plus de 3-4
d'ailleurs) en ne conservant que celles dont j'avais encore les heures et
François Boisson a écrit :
Voilà, à chacun des 128 domaines moins les 15 gérés par des abrutis qui
utilisent des listes noires à la c.. me considèrant comme un spammeur,
j'ai envoyé un mail avec les machines concernées (souvent guère plus de 3-4
d'ailleurs) en ne conservant que celles dont
François Boisson a écrit :
Voilà, à chacun des 128 domaines moins les 15 gérés par des abrutis qui
utilisent des listes noires à la c.. me considèrant comme un spammeur,
j'ai envoyé un mail avec les machines concernées (souvent guère plus de 3-4
d'ailleurs) en ne conservant que celles dont
Le Tue, 02 Dec 2008 15:16:19 +0100
Daniel Caillibaud [EMAIL PROTECTED] a écrit:
François Boisson a écrit :
Voilà, à chacun des 128 domaines moins les 15 gérés par des abrutis qui
utilisent des listes noires à la c.. me considèrant comme un spammeur,
j'ai envoyé un mail avec les machines
François Boisson a écrit :
sed -e '1,$s/^.*[ |\.]\([^\.]*\.[^\.]*\)$/\1/g' /tmp/SSH_douteux | sort -u | grep
[a-z] /tmp/domainesFAI
je comprends que tu prends les deux dernières sous-chaînes du fqdn (j'ai pas le même format de log, et seulement les ip, pas encore adapté ton script
pour
François Boisson a écrit :
Moi c'est assez primaire:
Script général
J'ai adapté à mes logs, du genre
Dec 1 03:56:47 h5 sshd[1154]: Failed password for root from 93.62.0.122 port
10058 ssh2
Dec 2 14:22:01 h5 sshd[14234]: Failed password for invalid user nicoara from
80.87.64.115 port 60029
Le Tue, 02 Dec 2008 18:43:52 +0100
Daniel Caillibaud [EMAIL PROTECTED] a écrit:
François Boisson a écrit :
sed -e '1,$s/^.*[ |\.]\([^\.]*\.[^\.]*\)$/\1/g' /tmp/SSH_douteux | sort -u
| grep [a-z] /tmp/domainesFAI
je comprends que tu prends les deux dernières sous-chaînes du fqdn (j'ai pas
On Saturday 29 November 2008 05:22:55 Charles Plessy wrote:
Pour partager:
Tong dans la mail list en anglais a le même problème. Quelqu' un qui connait
le problème et la langue anglaise pourrait-il l' aider. Nom do post: How can
I stop an active network connection, de Tong, en date du 2-12 à
François Boisson a écrit :
445 serveurs ssh ont répondus sur 594 machines. [...]
Merci pour cette petite enquête.
Quant au moyen qui a permis de compromettre ces machines, je pense qu'il
ne faut pas chercher loin et que c'est le même que celui par lequel
elles tentent de compromettre
Pascal Hambourg a écrit :
François Boisson a écrit :
445 serveurs ssh ont répondus sur 594 machines. [...]
Merci pour cette petite enquête.
Quant au moyen qui a permis de compromettre ces machines, je pense
qu'il ne faut pas chercher loin et que c'est le même que celui par
lequel elles
Le Mon, 01 Dec 2008 17:26:57 +0100
Régis Grison [EMAIL PROTECTED] a écrit:
Si quelqu'un a les IP de ces machines, ça serait pas possible de faire
un rapport à leur provider pour qu'il prévienne les propriétaires ? Je
pense qu'un certain nombre ignorent ce qui se passe. Pour les autres, il
François Boisson, lundi 1 décembre 2008, 18:24:09 CET
Le Mon, 01 Dec 2008 17:26:57 +0100
Régis Grison [EMAIL PROTECTED] a écrit:
Si quelqu'un a les IP de ces machines, ça serait pas
possible de faire un rapport à leur provider pour qu'il
prévienne les propriétaires ? Je pense qu'un
Le Mon, 1 Dec 2008 18:39:32 +0100
Sylvain Sauvage [EMAIL PROTECTED] a écrit:
Peut-être déjà, les grouper par FAI ? d’autant que plusieurs
IP peuvent correspondre à une seule machine (vu le temps entre
les tentatives).
Bon courage…
Voilà, à chacun des 128 domaines moins les 15 gérés par
Charles Plessy a écrit :
Bonjour tout le monde,
ça fait quelques jours qu'on est en train de tester un dictionnaire sur mon
serveur ssh, mais avec une adresse IP différente par mot. C'est très énervant
car j'utilise logcheck, qui m'envoie des tonnes de notifications du genre
suivant :
Si vous êtes peux a utilisez SSH sur cette machine, le port-knocking me
semble le plus fiable.
--
[EMAIL PROTECTED]
ID: 0x393F4A08
Fingerprint: 9170 4DD5 31D5 4C01 1EF2 9852 0DB1 A9E5 393F 4A08
Salut,
François Boisson a écrit :
Charles Plessy [EMAIL PROTECTED] a écrit:
ça fait quelques jours qu'on est en train de tester un dictionnaire sur mon
serveur ssh, mais avec une adresse IP différente par mot.
[...]
Sans vouloir te décourager, ça dure chez moi depuis le 23 Novembre,
[...]
L Je vois qu'on a les mêmes (et pour une fois ce ne sont pas des machines
sous Windows, d'après la bannière du service SSH qui tourne dessus il y
a pas mal de Debian). Mais en ce qui me concerne ça fait des années que
ça dure, et ce n'est pas une unique tentative par addresse source mais
Bonjour François,
Le samedi 29 novembre 2008 12:27, François Boisson a écrit :
Il me semble que Sarge était touché par la faille des clefs ssh.
Pour information, le wiki debian affirme le contraire:
[citation]La première version vulnérable, 0.9.8c-1, a été téléchargée dans
la distribution
445 serveurs ssh ont répondus sur 594 machines.
parmi ceux là 178 serveurs Debian (du moins avec ssh bannières Debian) dont
132 sous sarge. 11 serveurs Ubuntu.
Les versions des serveurs SSH sont les suivantes (avec les fréquences):
OpenSSH_3.7 10
OpenSSH_3.8 169
OpenSSH_3.9 21
OpenSSH_4.1 56
On Saturday 29 November 2008 05:22:55 Charles Plessy wrote:
Bonjour tout le monde,
ça fait quelques jours qu'on est en train de tester un dictionnaire sur mon
serveur ssh, mais avec une adresse IP différente par mot. C'est très
énervant car j'utilise logcheck, qui m'envoie des tonnes de
Charles Plessy wrote:
Bonjour tout le monde,
Bonjour,
Quelqu'un connaît-t-il une bonne méthode pour se débarasser de ces tentatives
de connextion (hormis le déplacement du port 22 à une autre adresse ?) Par
exemple, existe-t-il des listes noires ?
Je connais deux outils pour limiter les
Le Sat, 29 Nov 2008 13:22:55 +0900
Charles Plessy [EMAIL PROTECTED] a écrit:
Bonjour tout le monde,
ça fait quelques jours qu'on est en train de tester un dictionnaire sur mon
serveur ssh, mais avec une adresse IP différente par mot. C'est très énervant
car j'utilise logcheck, qui m'envoie
23 matches
Mail list logo
