Ubuntu-fr

Tao

tentative d'attaque par ssh ?

Comme le café du matin s'accompagne toujours du consultation de mes logs, voici le genre de truc qui aurait fait tourner la crème si j'en avais mis dans ce dit café :

Apr 20 07:37:28 localhost sshd[7176]: Server listening on :: port 22.
Apr 20 08:17:01 localhost CRON[8259]: (pam_unix) session opened for user root by (uid=0)
Apr 20 08:17:01 localhost CRON[8259]: (pam_unix) session closed for user root
Apr 20 09:17:01 localhost CRON[9005]: (pam_unix) session opened for user root by (uid=0)
Apr 20 09:17:01 localhost CRON[9005]: (pam_unix) session closed for user root
Apr 20 10:17:01 localhost CRON[9750]: (pam_unix) session opened for user root by (uid=0)
Apr 20 10:17:01 localhost CRON[9750]: (pam_unix) session closed for user root
Apr 20 10:33:18 localhost sshd[9951]: Did not receive identification string from ::ffff:66.55.2.44
Apr 20 10:37:12 localhost sshd[9999]: Invalid user jordan from ::ffff:66.55.2.44
Apr 20 10:37:13 localhost sshd[10003]: Invalid user michael from ::ffff:66.55.2.44
Apr 20 10:37:14 localhost sshd[10005]: Invalid user nicole from ::ffff:66.55.2.44
Apr 20 10:37:16 localhost sshd[10007]: Invalid user daniel from ::ffff:66.55.2.44
Apr 20 10:37:17 localhost sshd[10009]: Invalid user andrew from ::ffff:66.55.2.44
Apr 20 10:37:18 localhost sshd[10011]: Invalid user magic from ::ffff:66.55.2.44
Apr 20 10:37:19 localhost sshd[10013]: Invalid user lion from ::ffff:66.55.2.44
Apr 20 10:37:20 localhost sshd[10015]: Invalid user david from ::ffff:66.55.2.44
Apr 20 10:37:21 localhost sshd[10017]: Invalid user jason from ::ffff:66.55.2.44
Apr 20 10:37:23 localhost sshd[10021]: Invalid user carmen from ::ffff:66.55.2.44
Apr 20 10:37:24 localhost sshd[10023]: Invalid user justin from ::ffff:66.55.2.44
Apr 20 10:37:25 localhost sshd[10025]: Invalid user charlie from ::ffff:66.55.2.44
Apr 20 10:37:26 localhost sshd[10027]: Invalid user steven from ::ffff:66.55.2.44
Apr 20 10:37:27 localhost sshd[10029]: Invalid user brandon from ::ffff:66.55.2.44
Apr 20 10:37:28 localhost sshd[10031]: Invalid user brian from ::ffff:66.55.2.44
Apr 20 10:37:30 localhost sshd[10033]: Invalid user stephen from ::ffff:66.55.2.44
Apr 20 10:37:31 localhost sshd[10035]: Invalid user william from ::ffff:66.55.2.44
Apr 20 10:37:32 localhost sshd[10037]: Invalid user angel from ::ffff:66.55.2.44
Apr 20 10:37:33 localhost sshd[10041]: Invalid user emily from ::ffff:66.55.2.44
Apr 20 10:37:34 localhost sshd[10043]: Invalid user eric from ::ffff:66.55.2.44
Apr 20 10:37:36 localhost sshd[10045]: Invalid user joe from ::ffff:66.55.2.44
Apr 20 10:37:37 localhost sshd[10047]: Invalid user tom from ::ffff:66.55.2.44
Apr 20 10:37:38 localhost sshd[10049]: Invalid user billy from ::ffff:66.55.2.44
Apr 20 10:37:39 localhost sshd[10051]: Invalid user buddy from ::ffff:66.55.2.44
Apr 20 10:37:40 localhost sshd[10053]: Invalid user jeremy from ::ffff:66.55.2.44
Apr 20 10:37:41 localhost sshd[10055]: Invalid user vampire from ::ffff:66.55.2.44
Apr 20 10:37:42 localhost sshd[10059]: Invalid user betty from ::ffff:66.55.2.44
Apr 20 10:37:44 localhost sshd[10061]: Invalid user max from ::ffff:66.55.2.44
Apr 20 10:37:45 localhost sshd[10063]: Invalid user nicholas from ::ffff:66.55.2.44
Apr 20 10:37:46 localhost sshd[10065]: Invalid user robin from ::ffff:66.55.2.44
Apr 20 10:37:47 localhost sshd[10067]: Invalid user johnny from ::ffff:66.55.2.44
Apr 20 10:37:48 localhost sshd[10069]: Invalid user lucy from ::ffff:66.55.2.44
Apr 20 10:37:49 localhost sshd[10071]: Invalid user maria from ::ffff:66.55.2.44
Apr 20 10:37:51 localhost sshd[10073]: Invalid user rose from ::ffff:66.55.2.44
Apr 20 10:37:53 localhost sshd[10080]: Invalid user god from ::ffff:66.55.2.44
Apr 20 10:37:54 localhost sshd[10082]: Invalid user barbara from ::ffff:66.55.2.44
Apr 20 10:37:55 localhost sshd[10086]: Invalid user larisa from ::ffff:66.55.2.44
Apr 20 10:37:56 localhost sshd[10088]: Invalid user jane from ::ffff:66.55.2.44
Apr 20 10:37:58 localhost sshd[10090]: Invalid user dog from ::ffff:66.55.2.44
Apr 20 10:37:59 localhost sshd[10092]: Invalid user sparc from ::ffff:66.55.2.44
Apr 20 10:38:00 localhost sshd[10094]: Invalid user credit from ::ffff:66.55.2.44
Apr 20 10:38:01 localhost sshd[10096]: Invalid user info from ::ffff:66.55.2.44
Apr 20 10:38:02 localhost sshd[10100]: Invalid user manager from ::ffff:66.55.2.44
Apr 20 10:38:03 localhost sshd[10102]: Invalid user horse from ::ffff:66.55.2.44
Apr 20 10:38:04 localhost sshd[10104]: Invalid user nokia from ::ffff:66.55.2.44
Apr 20 10:38:05 localhost sshd[10106]: Invalid user tv from ::ffff:66.55.2.44
Apr 20 10:38:07 localhost sshd[10108]: Invalid user connect from ::ffff:66.55.2.44
Apr 20 10:38:08 localhost sshd[10110]: Invalid user fire from ::ffff:66.55.2.44
Apr 20 10:38:09 localhost sshd[10112]: Invalid user local from ::ffff:66.55.2.44
Apr 20 10:38:10 localhost sshd[10114]: Invalid user host from ::ffff:66.55.2.44
Apr 20 10:38:11 localhost sshd[10116]: Invalid user billy from ::ffff:66.55.2.44
Apr 20 10:38:12 localhost sshd[10118]: Invalid user yoyo from ::ffff:66.55.2.44
Apr 20 10:38:13 localhost sshd[10122]: Invalid user victor from ::ffff:66.55.2.44
Apr 20 10:38:14 localhost sshd[10124]: Invalid user fbi from ::ffff:66.55.2.44
Apr 20 10:38:15 localhost sshd[10126]: Invalid user mark from ::ffff:66.55.2.44
Apr 20 10:38:16 localhost sshd[10128]: Invalid user william from ::ffff:66.55.2.44
Apr 20 10:38:18 localhost sshd[10130]: Invalid user patrick from ::ffff:66.55.2.44
Apr 20 10:38:19 localhost sshd[10132]: Invalid user shin from ::ffff:66.55.2.44
Apr 20 10:38:20 localhost sshd[10134]: Invalid user veronica from ::ffff:66.55.2.44
Apr 20 10:38:21 localhost sshd[10136]: Invalid user justin from ::ffff:66.55.2.44
Apr 20 10:38:22 localhost sshd[10140]: Invalid user ana from ::ffff:66.55.2.44
Apr 20 10:38:23 localhost sshd[10142]: Invalid user daniel from ::ffff:66.55.2.44
Apr 20 10:38:24 localhost sshd[10144]: Invalid user alex from ::ffff:66.55.2.44
Apr 20 10:38:26 localhost sshd[10146]: Invalid user laser from ::ffff:66.55.2.44
Apr 20 10:38:27 localhost sshd[10148]: Invalid user tcp from ::ffff:66.55.2.44
Apr 20 10:38:28 localhost sshd[10150]: Invalid user andrea from ::ffff:66.55.2.44
Apr 20 10:38:29 localhost sshd[10152]: Invalid user bob from ::ffff:66.55.2.44
Apr 20 10:38:31 localhost sshd[10154]: Invalid user gai from ::ffff:66.55.2.44
Apr 20 10:38:32 localhost sshd[10156]: Invalid user gay from ::ffff:66.55.2.44
Apr 20 10:38:33 localhost sshd[10160]: Invalid user rpc from ::ffff:66.55.2.44
Apr 20 10:38:34 localhost sshd[10162]: Invalid user george from ::ffff:66.55.2.44
Apr 20 10:38:36 localhost sshd[10164]: Invalid user smile from ::ffff:66.55.2.44
Apr 20 10:38:37 localhost sshd[10166]: Invalid user smith from ::ffff:66.55.2.44
Apr 20 10:38:38 localhost sshd[10168]: Invalid user christopher from ::ffff:66.55.2.44
Apr 20 10:38:39 localhost sshd[10170]: Invalid user robert from ::ffff:66.55.2.44
Apr 20 10:38:40 localhost sshd[10172]: Invalid user coolboy from ::ffff:66.55.2.44
Apr 20 10:38:41 localhost sshd[10174]: Invalid user derek from ::ffff:66.55.2.44
Apr 20 10:38:42 localhost sshd[10178]: Invalid user james from ::ffff:66.55.2.44
Apr 20 10:38:44 localhost sshd[10180]: Invalid user james from ::ffff:66.55.2.44
Apr 20 10:38:45 localhost sshd[10182]: Invalid user james from ::ffff:66.55.2.44
Apr 20 10:38:46 localhost sshd[10184]: Invalid user lisa from ::ffff:66.55.2.44
Apr 20 10:38:47 localhost sshd[10186]: Invalid user mario from ::ffff:66.55.2.44
Apr 20 10:38:48 localhost sshd[10188]: Invalid user martin from ::ffff:66.55.2.44
Apr 20 10:38:50 localhost sshd[10190]: Invalid user sonya from ::ffff:66.55.2.44
Apr 20 10:38:51 localhost sshd[10192]: Invalid user tony from ::ffff:66.55.2.44
Apr 20 10:38:52 localhost sshd[10194]: Invalid user just from ::ffff:66.55.2.44
Apr 20 10:38:53 localhost sshd[10198]: Invalid user justice from ::ffff:66.55.2.44
Apr 20 10:38:54 localhost sshd[10200]: Invalid user bank from ::ffff:66.55.2.44
Apr 20 10:38:55 localhost sshd[10202]: Invalid user vip from ::ffff:66.55.2.44

Qu'est-ce que cela ? Heureusement qu'on est limité à 3 tentatives de mot de passe par user... (bien que mon mdp root ne doit pas se trouver dans un dictionnaire )

J'avais déjà remarqué le même genre de chose dans le log de mon serveur ftp...

Dernière modification par Tao (Le 20/04/2005, à 17:48)

coffee

Re : tentative d'attaque par ssh ?

un pti comique?

Tiens moi j'ai ça sur apache: http://www.thesitewizard.com/news/coderediiworm.shtml
toujours tres amusant à voir, surtout quand tu vois les IPs à coté

---

Nom d'un tupperware habillé en streetware mangeant de la confiture de pouère et qui se dite où est-ce que je suis ouère !
Tiens mon blog
Les blagues sous forme de fausses aides sont susceptible de ban (ex: rm)

Tao

Re : tentative d'attaque par ssh ?

un ptit comique ce serait bien... un robot qui parcourt vraiment beaucoup d'ordis et qui fini par acceder à quelques uns pour y faire des vraies opérations malveillantes, c'est possible aussi !

Etrange, il n'a pas essayé toto...

coffee

Re : tentative d'attaque par ssh ?

Apr 20 10:38:53 localhost sshd[10198]: Invalid user justice from ::ffff:66.55.2.44

mdr

---

Nom d'un tupperware habillé en streetware mangeant de la confiture de pouère et qui se dite où est-ce que je suis ouère !
Tiens mon blog
Les blagues sous forme de fausses aides sont susceptible de ban (ex: rm)

Tao

Re : tentative d'attaque par ssh ?

c'est amusant de voir les logins qui doivent probablement être assez courants...

Gillaume

Re : tentative d'attaque par ssh ?

c'est quel log où tu as vu ça Tao ?
/var/log/messages ?

---

Guili Guili

Gillaume

Re : tentative d'attaque par ssh ?

Apr 16 18:24:33 localhost sshd[15697]: Invalid user student from ::ffff:69.55.5.101
Apr 16 18:24:34 localhost sshd[15699]: Invalid user ben from ::ffff:69.55.5.101
Apr 16 18:24:35 localhost sshd[15701]: Invalid user leonard from ::ffff:69.55.5.101
Apr 16 18:24:37 localhost sshd[15703]: Invalid user benedict from ::ffff:69.55.5.101
Apr 16 18:24:38 localhost sshd[15705]: Invalid user benjamin from ::ffff:69.55.5.101
Apr 16 18:24:39 localhost sshd[15707]: Invalid user benny from ::ffff:69.55.5.101
Apr 16 18:24:40 localhost sshd[15709]: Invalid user bernardo from ::ffff:69.55.5.101
Apr 16 18:24:41 localhost sshd[15711]: Invalid user berta from ::ffff:69.55.5.101
Apr 16 18:24:42 localhost sshd[15713]: Invalid user william from ::ffff:69.55.5.101
Apr 16 18:24:43 localhost sshd[15715]: Invalid user bitmap from ::ffff:69.55.5.101
Apr 16 18:24:45 localhost sshd[15717]: Invalid user bizkit from ::ffff:69.55.5.101
Apr 16 18:24:46 localhost sshd[15739]: Invalid user angela from ::ffff:69.55.5.101
Apr 16 18:24:47 localhost sshd[15773]: Invalid user bjoern from ::ffff:69.55.5.101
Apr 16 18:24:48 localhost sshd[15777]: Invalid user michael from ::ffff:69.55.5.101
Apr 16 18:24:49 localhost sshd[15785]: Invalid user eagle from ::ffff:69.55.5.101
Apr 16 18:24:50 localhost sshd[15798]: Invalid user captain from ::ffff:69.55.5.101
Apr 16 18:24:51 localhost sshd[15800]: Invalid user jonathan from ::ffff:69.55.5.101
Apr 16 18:24:52 localhost sshd[15802]: Invalid user richard from ::ffff:69.55.5.101
Apr 16 18:24:53 localhost sshd[15804]: Invalid user sylvia from ::ffff:69.55.5.101
Apr 16 18:24:54 localhost sshd[15821]: Invalid user martin from ::ffff:69.55.5.101
Apr 16 18:24:56 localhost sshd[15845]: Invalid user bobby from ::ffff:69.55.5.101
Apr 16 18:24:57 localhost sshd[15855]: Invalid user gracie from ::ffff:69.55.5.101
Apr 16 18:24:58 localhost sshd[15866]: Invalid user smith from ::ffff:69.55.5.101
Apr 16 18:24:59 localhost sshd[15883]: Invalid user stan from ::ffff:69.55.5.101
Apr 16 18:25:00 localhost sshd[15887]: Invalid user austin from ::ffff:69.55.5.101
Apr 16 18:25:02 localhost sshd[15895]: Invalid user jimmy from ::ffff:69.55.5.101
Apr 16 18:25:02 localhost sshd[15902]: Invalid user ashley from ::ffff:69.55.5.101
Apr 16 18:25:09 localhost sshd[15905]: User root not allowed because not listed in AllowUsers
Apr 16 18:25:10 localhost sshd[15910]: Invalid user master from ::ffff:69.55.5.101
Apr 16 18:25:11 localhost sshd[15912]: Invalid user barry from ::ffff:69.55.5.101
Apr 16 18:25:12 localhost sshd[15914]: Invalid user veronica from ::ffff:69.55.5.101
Apr 16 18:25:14 localhost sshd[15918]: Invalid user henry from ::ffff:69.55.5.101
Apr 16 18:25:15 localhost sshd[15921]: Invalid user brenda from ::ffff:69.55.5.101

j'ai la meme chose !
franchement, c'est une tentative d'intrusion ?
dans /var/log/auth.log

ça a l'air de vous faire rire ...
ça me fait un peu flippé .......

Dernière modification par Gillaume (Le 21/04/2005, à 10:04)

---

Guili Guili

Gillaume

Re : tentative d'attaque par ssh ?

- Heureusement qu'on est limité à 3 tentatives de mot de passe par user -

C'est par defaut dans ssh config ?

dans sshd_config,j'ai mis AllowUsers guigui

puis je mettre, si ça existe ?
DenyUsers All

Dernière modification par Gillaume (Le 20/04/2005, à 23:27)

---

Guili Guili

Tao

Re : tentative d'attaque par ssh ?

c'est dangereux dans le sens que oui il y a bien des gens qui essaient d'avoir des accès sur d'autres ordinateurs, et s'ils se donnent la peine de faire ça, c'est pas pour avoir ton adresse pour t'envoyer des chocolats.

Par contre, avec ce type de tentative d'intrusion, si on n'a pas fait n'importe quoi au niveau des mdp, on n'a pas trop de risques. Ca veut dire aussi qu'il doit y avoir des personnes bien plus faciles à avoir que moi. Déceler un scan de port par exemple peut être de bien moins bon augure...

coffee

Re : tentative d'attaque par ssh ?

Ben au pire tu peux porter plainte sur l'ip mais le truc, c'est qu'à mon avis, le gars il a pas fait ça de chez lui mais d'un ordi qu'il avait déjà contaminé

---

Nom d'un tupperware habillé en streetware mangeant de la confiture de pouère et qui se dite où est-ce que je suis ouère !
Tiens mon blog
Les blagues sous forme de fausses aides sont susceptible de ban (ex: rm)

aya

Re : tentative d'attaque par ssh ?

dans sshd_config,j'ai mis AllowUsers guigui

puis je mettre, si ça existe ?
DenyUsers All

Non, c'est la directive AllowUsers qui convient.
Essayes avec un autre utilisateur pour t'en convaincre.

Gillaume

Re : tentative d'attaque par ssh ?

les 3 tentatives avec mdp, y a moyen de mettre 1 seule ?

---

Guili Guili

coffee

Re : tentative d'attaque par ssh ?

Tu peux en mettre 0, donc oui ça doit être possible. Regardes si c'est pas expliqué dans man sshd_config

---

Nom d'un tupperware habillé en streetware mangeant de la confiture de pouère et qui se dite où est-ce que je suis ouère !
Tiens mon blog
Les blagues sous forme de fausses aides sont susceptible de ban (ex: rm)

Gillaume

Re : tentative d'attaque par ssh ?

je regarde ça !

---

Guili Guili

Gillaume

Re : tentative d'attaque par ssh ?

ça recommence pour moi ce matin ....
une vingtaine de tentative..
j'ai fait des recherches avec l'IP ( 211.189.88.155 ), c'est une machine red hat, qui doit etre en Corée : co.kr

pourquoi tant de N ?

Dernière modification par Gillaume (Le 22/04/2005, à 09:31)

---

Guili Guili

Axel

Re : tentative d'attaque par ssh ?

Question : vous avez ça sur des ubuntu "normaux" ou alors des ubuntu tranformés en serveur ?

DiCiCat

Re : tentative d'attaque par ssh ?

De toute facon, une tentative d'intrusion c'est pas grave du moment que ca se solde par un echec

Gillaume

Re : tentative d'attaque par ssh ?

serveur ssh + ftp....
j'ai renforcé tout ça ..... MDP+ LOGIN ....

incroyable qd meme !

---

Guili Guili

Axel

Re : tentative d'attaque par ssh ?

En meme temps, je veux pas dire mais a quoi ca peut bien leur servir d'avoir accès à nos photos de vacances, voire à nos recueil de papier-peint/mp3/poèmes/etc...

Au mieux je retrouverais un jour ma photo sur un fake porno...ça me fera surement plus marrer qu'autre chose.
Au pire, ils me formattent mon pc (ben de toutes façon, je backup toujours les trucs important alors...) et ça ne les aura pas amusé (puisque ça leur aura pris 2 secondes, après avoir tenté de pénétrer dans ma machine durant 2 mois...).

Bref, comme dit le bouquin : PAS DE PANIQUE

Gillaume

Re : tentative d'attaque par ssh ?

dis moi Axel, juste comme ça, comment on peut avoir plus de renseignements avec une IP ?
tu connais un site ?

pour etre sur de la provenance de ces "attaques" ......

---

Guili Guili

Axel

Re : tentative d'attaque par ssh ?

Ben je connais ça : http://www.visualroute.com/

Mais c'est ni gratuit, ni sous linux, ni d'ailleurs super puissant

Si quelqu'un connait des equivalents je suis preneur.

EDIT : J'ai trouvé ça qui est rigolo mais ne fait pas tout à fait la meme chose http://cyrille.morvan.free.fr/netgraph/fr/download.php3

Dernière modification par Axel (Le 22/04/2005, à 10:19)

Gillaume

Re : tentative d'attaque par ssh ?

http://211.189.88.155/
serveur pop; telnet, ftp ..... sous red hat ....

c'est bien coréen !

allez comprendre pourquoi il vient chez moi celui là !!!!

bien le petit soft en java chez http://cyrille.morvan.free.fr/netgraph/fr/download.php3

excellent ...
A essayer

---

Guili Guili

Axel

Re : tentative d'attaque par ssh ?

http://211.189.88.155/
serveur pop; telnet, ftp ..... sous red hat ....

c'est bien coréen !

allez comprendre pourquoi il vient chez moi celui là !!!!

De ce que j'en comprends (oui je sais lire le coréen ) c'est une petite compagnie de sécu informatique. Donc c'est surement un guignol qui joue avec les outils de hacker "pour voir"

P.S.: Mon secret pour lire le coréen -> http://www.systran.fr/index.html

Gillaume

Re : tentative d'attaque par ssh ?

exact !
bon week end 

---

Guili Guili

cedjo

Re : tentative d'attaque par ssh ?

equivalent:

whois 211.189.88.155 ??? man whois
et gnome network tools

---

http://blog.digitalresistance.info