Re: attaque ssh?
On 12/5/06, spetrot@free.fr <spetrot@free.fr> wrote:
Bonjour,
j'ai un serveur web que j'administre à distance via ssh (machine debian Sarge).
Tout ce qu'il y a de plus classique. J'ai vu dans mes logs auth.log des entrées
qui me paraissent suspectes. Il doit s'agir de tentatives d'attaques ssh.
Voilà ce que disent les logs :
Illegal user test from 219.136.9.84
Dec 4 23:53:46 myserver sshd[22991]: error: Could not get shadow information
for NOUSER
Dec 4 23:53:46 myserver sshd[22991]: Failed password for illegal user test from
219.136.9.84 port 56232 ssh2
Dec 4 23:53:49 myserver sshd[22993]: Illegal user guest from 219.136.9.84
Dec 4 23:53:49 myserver sshd[22993]: error: Could not get shadow information
for NOUSER
Qu'est-ce que cela signifie exactement?
Comment sécuriser ssh pour éviter ces attaques?
Comment savoir si l'attaque a abouti?
Merci
Stéphane
Bonjour,
Effectivement c'est une attaque, la pluipart du temps se sont des vers
qui tentent des attaques par dicitonnaire sur les ports SSH ouverts
dans des plages d'adresses. C'est très fréquent.
Si tu te sens l'âme charitable, tu peux faire un whois sur l'IP et
écrire un mail au service abuse des administrateur pour qu'ils
solutionnent le problème de leur coté.
Solutions en vrac pour sécuriser de ton coté :
- faire écouter SSH sur un port différent (tu évites quasiement toutes
les attaques automatiques)
- enlever l'authentification par mot de passe
- utiliser le port knocking (un peu extreme, mais tres efficace)
Bonne journée...
--
+ Romain.
Reply to: