Contenu | Rechercher | Menus

Annonce

Si vous avez des soucis pour rester connecté, déconnectez-vous puis reconnectez-vous depuis ce lien en cochant la case
Me connecter automatiquement lors de mes prochaines visites.

À propos de l'équipe du forum.

Pages : 1

#1 Le 04/03/2010, à 19:41

21ch181

[RESOLU] Sont-ce des attaques ?

Bonjour à tous,

Je m'amuse beaucoup avec Ubuntu ... un petit réseau familial, un petit serveur sous ubuntu 8.04 (serveur de fichiers et d'applications client/serveur, ftp en cours de reconfiguration).

Voilà pour le décor ... rapide.

Dans le log auth.log je constate plein de choses comme celles-çi :

Mar  4 10:46:26 ServeurEbox sshd[26801]: Failed password for invalid user guest from 88.209.84.147 port 24008 ssh2
Mar  4 10:46:32 ServeurEbox sshd[26806]: Invalid user test from 88.209.84.147
Mar  4 10:46:32 ServeurEbox sshd[26806]: pam_unix(sshd:auth): check pass; user unknown
Mar  4 10:46:32 ServeurEbox sshd[26806]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=147.84.209.88.dsl.monaco.mc 
Mar  4 10:46:34 ServeurEbox sshd[26806]: Failed password for invalid user test from 88.209.84.147 port 25499 ssh2
Mar  4 10:46:40 ServeurEbox sshd[26808]: Invalid user oracle from 88.209.84.147
Mar  4 10:46:40 ServeurEbox sshd[26808]: pam_unix(sshd:auth): check pass; user unknown
Mar  4 10:46:40 ServeurEbox sshd[26808]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=147.84.209.88.dsl.monaco.mc 
Mar  4 10:46:42 ServeurEbox sshd[26808]: Failed password for invalid user oracle from 88.209.84.147 port 26982 ssh2
Mar  4 10:46:49 ServeurEbox sshd[26813]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=147.84.209.88.dsl.monaco.mc  user=root

Vous l'avez deviné ... si je m'amuse avec ubuntu c'est que je suis curieux et que j'aime apprendre mais .... que je ne suis pas un informaticien !

Vu que j'ai un grand nombre de lignes comme celles-ci avec des ports différents, je me dit que mon serveur fait l'objet de scan de ports incessant non ?

Petite statistique sur la journée du 3 mars :
nombre de lignes dans auth.log = 2 514
nombre de lignes tentatives d'intrusion : 2 330 soit 92% !! origine de 14 adresses IP dont 3 adresses occupent 65% des lignes (80% avec 7 adresses IP).

Mes petites questions :
1) est ce le bon diagnostique ?
2) comment puis-je éviter cela ? (même si manifestement personne n'a pu y rentrer d'après l'analyse de mes log)
3) est ce que ca "consomme" de la capacité de traitement du serveur ? (en gros est ce que ca peux pénaliser les users "légaux" et les applications qui fonctionnent dessus)
4) est ce grave docteur ?

Merci à tous

Dernière modification par 21ch181 (Le 04/03/2010, à 23:00)

Hors ligne

#2 Le 04/03/2010, à 19:45

lsam

Re : [RESOLU] Sont-ce des attaques ?

Salut,
Eh oui, il y a toujours plein de petits c... pour essayer de se connecter à ta machine.
Deux conseils :
- installer fail2ban, pour "bannir" des tentatives de connexion au bout de n échecs (n est à paramétrer)
- changer le port d'écoute de ton serveur SSH (sur ta box, sinon sur ton ordi)

Dernière modification par lsam (Le 04/03/2010, à 19:46)

Hors ligne

#3 Le 04/03/2010, à 19:52

kAzz

Re : [RESOLU] Sont-ce des attaques ?

Hello,

C'est du grand classique ces tentatives, souvent dû à des "scripts kiddy". Un scan a décelé ton port 22 ouvert (port standard ssh), alors ils se font plaisir big_smile

Le plus simple est de le changer dans /etc/ssh/sshd_config part un non standard (1022 par ex), sans oublier de redémarrer sshd ensuite : /etc/init.d/ssh restart

Pour te connecter sur ton serveur, tu devras le spécifier dans la commande ssh : ssh <serveur> -p<port>

Dernière modification par kAzz (Le 04/03/2010, à 19:53)

1 + 1 = 3

Hors ligne

#4 Le 04/03/2010, à 20:07

sinbad83

Re : [RESOLU] Sont-ce des attaques ?

Bonjour,
tant que les tentatives sont repoussées, tant mieux. Une commande utile pour vérifier les connexions dans le temps: last. Pour limiter l'affichage s'il y a lieu, soit last | more, soit last -n 25 (pour limiter à 25 lignes)

La connaissance n'est pas une denrée rare, il faut la partager avec les autres.
Linux registered #484707
Site: www.coursinforev.org/doku.php
Desktop AMD Ryzen 5-3600, RAM 16GB, Ubuntu 20.10,   HP Pavillon G6 Ubuntu 20.10 et Ten, Serveur Ubuntu 18.04

Hors ligne

#5 Le 04/03/2010, à 22:59

21ch181

Re : [RESOLU] Sont-ce des attaques ?

Merci à vous tous pour cet éclairage !

Un vrai plaisir !

J'ai commencé "doucement" : je viens d'installer denyhosts .... qui m'a déjà banni les adresses qui apparaissaient dans auth.log (il est fait pour ça en plus !) puisque pour le moment c'est le seul log qui contenait des tentatives.

J'ai commencé à jeté un oeil sur fail2ban : il me "gène" un peu pour le moment car il demande à ce que je maitrise Iptables ... ce qui n'est pas mon cas !

Je regarde aussi prelude qui m'a l'air assez sympa comme produit quoique complexe à configurer si j'ai bien vu (configuration des différentes sondes ...).

J'avance ....

Bonne soirée

Hors ligne

Pages : 1