#1 Le 29/03/2008, à 22:08
- madjuju
[resolu] Votre analyse de mon auth.log ? Merci par avance
Mar 22 22:17:01 ubuntu CRON[18632]: pam_unix(cron:session): session opened for user root by (uid=0)
Mar 22 22:17:01 ubuntu CRON[18632]: pam_unix(cron:session): session closed for user root
Mar 22 23:17:01 ubuntu CRON[19012]: pam_unix(cron:session): session opened for user root by (uid=0)
Mar 22 23:17:02 ubuntu CRON[19012]: pam_unix(cron:session): session closed for user root
Mar 23 00:17:01 ubuntu CRON[19073]: pam_unix(cron:session): session opened for user root by (uid=0)
Mar 23 00:17:01 ubuntu CRON[19073]: pam_unix(cron:session): session closed for user root
Mar 23 01:17:01 ubuntu CRON[19118]: pam_unix(cron:session): session opened for user root by (uid=0)
Mar 23 01:17:01 ubuntu CRON[19118]: pam_unix(cron:session): session closed for user root
Mar 23 02:17:01 ubuntu CRON[19156]: pam_unix(cron:session): session opened for user root by (uid=0)
Mar 23 02:17:02 ubuntu CRON[19156]: pam_unix(cron:session): session closed for user root
Mar 23 03:17:01 ubuntu CRON[19196]: pam_unix(cron:session): session opened for user root by (uid=0)
Mar 23 03:17:01 ubuntu CRON[19196]: pam_unix(cron:session): session closed for user root
Mar 23 04:17:01 ubuntu CRON[19237]: pam_unix(cron:session): session opened for user root by (uid=0)
Mar 23 04:17:01 ubuntu CRON[19237]: pam_unix(cron:session): session closed for user root
Mar 23 05:17:02 ubuntu CRON[19286]: pam_unix(cron:session): session opened for user root by (uid=0)
Mar 23 05:17:02 ubuntu CRON[19286]: pam_unix(cron:session): session closed for user root
Mar 23 06:17:01 ubuntu CRON[19324]: pam_unix(cron:session): session opened for user root by (uid=0)
Mar 23 06:17:01 ubuntu CRON[19324]: pam_unix(cron:session): session closed for user root
Mar 23 06:25:01 ubuntu CRON[19327]: pam_unix(cron:session): session opened for user root by (uid=0)
Mar 23 06:25:01 ubuntu CRON[19327]: pam_unix(cron:session): session closed for user root
Mar 23 06:47:01 ubuntu CRON[19366]: pam_unix(cron:session): session opened for user root by (uid=0)
Mar 23 06:47:01 ubuntu CRON[19366]: pam_unix(cron:session): session closed for user root
Mar 23 07:17:02 ubuntu CRON[19380]: pam_unix(cron:session): session opened for user root by (uid=0)
Mar 23 07:17:02 ubuntu CRON[19380]: pam_unix(cron:session): session closed for user root
Dernière modification par madjuju (Le 16/08/2008, à 13:39)
Quad Core 6600 G0 - P5K asus - 2048 DDR2 CORSAIR 8500- nvidia 8600 PCIE
Ubuntu 8.04 - 1 X 250 GO SATA - 1 X 500 GO SATA II et
P4 HT - Asus P5GD2 premium - 1 X 250 GO SATA Ubuntu 8.04
Nvidia asus 6600 GT
Hors ligne
#2 Le 29/03/2008, à 22:18
- UgM
Re : [resolu] Votre analyse de mon auth.log ? Merci par avance
Ce sont des taches systèmes (vu qu c'est executé en root) qui s'effectuent à des moments donnés : pour plus de détail, voir cron.
Je ne suis pas spécialiste donc avis aux autres.
Hors ligne
#3 Le 29/03/2008, à 23:08
- pouchat
Re : [resolu] Votre analyse de mon auth.log ? Merci par avance
Ce sont des taches systèmes (vu qu c'est executé en root) qui s'effectuent à des moments donnés : pour plus de détail, voir cron.
Je ne suis pas spécialiste donc avis aux autres.
non, c'est bien la bonne réponse. Tout est ok.
Hors ligne
#4 Le 30/03/2008, à 00:02
- madjuju
Re : [resolu] Votre analyse de mon auth.log ? Merci par avance
Merci
Donc rien d'inquiétant ?
Et çà ?
Mar 27 16:18:10 ubuntu sshd[2269]: Invalid user stephen from 59.160.164.228
Mar 27 16:18:10 ubuntu sshd[2269]: pam_unix(ssh:auth): check pass; user unknown
Mar 27 16:18:10 ubuntu sshd[2269]: pam_unix(ssh:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=59.160.164.228
Mar 27 16:18:12 ubuntu sshd[2269]: Failed password for invalid user stephen from 59.160.164.228 port 37922 ssh2
Mar 27 16:18:15 ubuntu sshd[2271]: reverse mapping checking getaddrinfo for 59.160.164.228.static.vsnl.net.in [59.160.164.228] failed - POSSIBLE BREAK-IN ATTEMPT!
Mar 27 16:18:15 ubuntu sshd[2271]: Invalid user richard from 59.160.164.228
Mar 27 16:18:15 ubuntu sshd[2271]: pam_unix(ssh:auth): check pass; user unknown
Mar 27 16:18:15 ubuntu sshd[2271]: pam_unix(ssh:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=59.160.164.228
Mar 27 16:18:17 ubuntu sshd[2271]: Failed password for invalid user richard from 59.160.164.228 port 38770 ssh2
Mar 27 16:18:20 ubuntu sshd[2273]: reverse mapping checking getaddrinfo for 59.160.164.228.static.vsnl.net.in [59.160.164.228] failed - POSSIBLE BREAK-IN ATTEMPT!
Mar 27 16:18:20 ubuntu sshd[2273]: Invalid user george from 59.160.164.228
Mar 27 16:18:20 ubuntu sshd[2273]: pam_unix(ssh:auth): check pass; user unknown
Mar 27 16:18:20 ubuntu sshd[2273]: pam_unix(ssh:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=59.160.164.228
Mar 27 16:18:22 ubuntu sshd[2273]: Failed password for invalid user george from 59.160.164.228 port 39618 ssh2
Mar 27 16:18:24 ubuntu sshd[2275]: reverse mapping checking getaddrinfo for 59.160.164.228.static.vsnl.net.in [59.160.164.228] failed - POSSIBLE BREAK-IN ATTEMPT!
Mar 27 16:18:24 ubuntu sshd[2275]: Invalid user michael from 59.160.164.228
Mar 27 16:18:24 ubuntu sshd[2275]: pam_unix(ssh:auth): check pass; user unknown
Mar 27 16:18:24 ubuntu sshd[2275]: pam_unix(ssh:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=59.160.164.228
Mar 27 16:18:26 ubuntu sshd[2275]: Failed password for invalid user michael from 59.160.164.228 port 40468 ssh2
Mar 27 16:38:06 ubuntu sshd[2300]: Did not receive identification string from 66.166.56.233
Mar 27 16:44:40 ubuntu sshd[2301]: Did not receive identification string from 91.64.37.98
Mar 27 16:46:51 ubuntu sshd[2302]: Invalid user test from 91.64.37.98
Mar 27 16:46:51 ubuntu sshd[2302]: pam_unix(ssh:auth): check pass; user unknown
Mar 27 16:46:51 ubuntu sshd[2302]: pam_unix(ssh:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=91.64.37.98
Mar 27 16:46:53 ubuntu sshd[2302]: Failed password for invalid user test from 91.64.37.98 port 55905 ssh2
Mar 27 16:46:58 ubuntu sshd[2304]: Invalid user test from 91.64.37.98
Mar 27 16:46:58 ubuntu sshd[2304]: pam_unix(ssh:auth): check pass; user unknown
Mar 27 16:46:58 ubuntu sshd[2304]: pam_unix(ssh:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=91.64.37.98
Mar 27 16:47:00 ubuntu sshd[2304]: Failed password for invalid user test from 91.64.37.98 port 55985 ssh2
Mar 27 16:47:06 ubuntu sshd[2306]: Invalid user test from 91.64.37.98
Mar 27 16:47:06 ubuntu sshd[2306]: pam_unix(ssh:auth): check pass; user unknown
Mar 27 16:47:06 ubuntu sshd[2306]: pam_unix(ssh:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=91.64.37.98
Mar 27 16:47:08 ubuntu sshd[2306]: Failed password for invalid user test from 91.64.37.98 port 57650 ssh2
Mar 27 16:47:14 ubuntu sshd[2308]: Invalid user test from 91.64.37.98
Mar 27 16:47:14 ubuntu sshd[2308]: pam_unix(ssh:auth): check pass; user unknown
Mar 27 16:47:14 ubuntu sshd[2308]: pam_unix(ssh:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=91.64.37.98
Mar 27 16:47:16 ubuntu sshd[2308]: Failed password for invalid user test from 91.64.37.98 port 59311 ssh2
Mar 27 16:47:22 ubuntu sshd[2310]: Invalid user test from 91.64.37.98
Mar 27 16:47:22 ubuntu sshd[2310]: pam_unix(ssh:auth): check pass; user unknown
Mar 27 16:47:22 ubuntu sshd[2310]: pam_unix(ssh:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=91.64.37.98
Mar 27 16:47:24 ubuntu sshd[2310]: Failed password for invalid user test from 91.64.37.98 port 60946 ssh2
Mar 27 16:47:30 ubuntu sshd[2312]: Invalid user test from 91.64.37.98
Mar 27 16:47:30 ubuntu sshd[2312]: pam_unix(ssh:auth): check pass; user unknown
Mar 27 16:47:30 ubuntu sshd[2312]: pam_unix(ssh:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=91.64.37.98
Mar 27 16:47:32 ubuntu sshd[2312]: Failed password for invalid user test from 91.64.37.98 port 34356 ssh2
Mar 27 16:47:38 ubuntu sshd[2314]: Invalid user test from 91.64.37.98
Mar 27 16:47:38 ubuntu sshd[2314]: pam_unix(ssh:auth): check pass; user unknown
Mar 27 16:47:38 ubuntu sshd[2314]: pam_unix(ssh:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=91.64.37.98
Mar 27 16:47:39 ubuntu sshd[2314]: Failed password for invalid user test from 91.64.37.98 port 36002 ssh2
Mar 27 16:47:45 ubuntu sshd[2316]: Invalid user test from 91.64.37.98
Mar 27 16:47:45 ubuntu sshd[2316]: pam_unix(ssh:auth): check pass; user unknown
Mar 27 16:47:45 ubuntu sshd[2316]: pam_unix(ssh:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=91.64.37.98
Mar 27 16:47:47 ubuntu sshd[2316]: Failed password for invalid user test from 91.64.37.98 port 36851 ssh2
Mar 27 16:48:02 ubuntu sshd[2318]: Invalid user test from 91.64.37.98
Mar 27 16:48:02 ubuntu sshd[2318]: pam_unix(ssh:auth): check pass; user unknown
Quad Core 6600 G0 - P5K asus - 2048 DDR2 CORSAIR 8500- nvidia 8600 PCIE
Ubuntu 8.04 - 1 X 250 GO SATA - 1 X 500 GO SATA II et
P4 HT - Asus P5GD2 premium - 1 X 250 GO SATA Ubuntu 8.04
Nvidia asus 6600 GT
Hors ligne
#5 Le 30/03/2008, à 00:02
- madjuju
Re : [resolu] Votre analyse de mon auth.log ? Merci par avance
Une belle attaque ? !
Quad Core 6600 G0 - P5K asus - 2048 DDR2 CORSAIR 8500- nvidia 8600 PCIE
Ubuntu 8.04 - 1 X 250 GO SATA - 1 X 500 GO SATA II et
P4 HT - Asus P5GD2 premium - 1 X 250 GO SATA Ubuntu 8.04
Nvidia asus 6600 GT
Hors ligne
#6 Le 30/03/2008, à 00:15
- UgM
Re : [resolu] Votre analyse de mon auth.log ? Merci par avance
Effectivement, là ça change tous.
En effet, quelqu'un essaye de se connecter en SSH sur ton pc. Cela veux dire que t'as rédirigé un port (22 par exemple) sur ton routeur (livebox, neufbox..) vers ton pc pour le ssh. Chez moi, ça fait la même chose aussi.
Fait toi un mot de passe bien solide et change souvent. Et aussi, (si possible), utiliser un autre port que le 22 pour le ssh.
EDIT : sinon aussi, tu peux bloquer les adresses IP qui tentent des connexions SSH brute (cf http://mysecureshell.sourceforge.net/fr/securessh.html)
Dernière modification par UgM (Le 30/03/2008, à 00:25)
Hors ligne
#7 Le 30/03/2008, à 02:51
- Uggy
Re : [resolu] Votre analyse de mon auth.log ? Merci par avance
La solution au bruteforce SSH est de n'authoriser QUE les connexions par clé.. (et pas celles par mot de passe).
Etant donné que je n'ai jamais vu de brute force de clé, tu serras tranquille...Meme le gars qui aurait le pass d'un compte ne pourrais pas ce connecter.
Hors ligne
#8 Le 30/03/2008, à 04:05
- UgM
Re : [resolu] Votre analyse de mon auth.log ? Merci par avance
La solution au bruteforce SSH est de n'authoriser QUE les connexions par clé.. (et pas celles par mot de passe).
Etant donné que je n'ai jamais vu de brute force de clé, tu serras tranquille...Meme le gars qui aurait le pass d'un compte ne pourrais pas ce connecter.
Ah oui, j'ai oublié ça.
Hors ligne
#9 Le 30/03/2008, à 08:16
- madjuju
Re : [resolu] Votre analyse de mon auth.log ? Merci par avance
merci pour vos réponses et vos conseils.
j'ai installé fail2ban
Madjuju
Dernière modification par madjuju (Le 30/03/2008, à 08:16)
Quad Core 6600 G0 - P5K asus - 2048 DDR2 CORSAIR 8500- nvidia 8600 PCIE
Ubuntu 8.04 - 1 X 250 GO SATA - 1 X 500 GO SATA II et
P4 HT - Asus P5GD2 premium - 1 X 250 GO SATA Ubuntu 8.04
Nvidia asus 6600 GT
Hors ligne
#10 Le 21/04/2008, à 07:16
- zedtux
Re : [resolu] Votre analyse de mon auth.log ? Merci par avance
Alors un petit résolu dans le titre puisque le sujet est terminé 
RECOLLER VOS FICHIERS XTM AVEC TUXTREMSPLIT !!
Adhérant April numéro 4985 [Rejoindre l'April moi aussi !].
Hors ligne