[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: [HS] Possible attaque SSH

Bonjour

De mon expérience avec fail2banet ssh, dans une situation similaire (NAT derrière une box) les IP des attaquants sont celles venant de l'extérieur. Donc si dans les logs les ip appartiennent au réseau local, c'est que l'attaquant s'y trouve, ou bien utilise une machine locale pour effectuer ses attaques.

Idem que précédemment, fail2ban enregistre de nombreuses attaques par heure en permanence.

Le mar. 22 févr. 2022 à 12:29, Belaïd <oblivion.ikiub@gmail.com> a écrit :
Bonjour,

C'est possible que ça vienne de l'extérieur (a l'époque ca pouvait être une attaque par IP spoofing/paquet martien). Mais ça ne ce fait plus trop de nos jours , les routeurs/firewall savent gérer cela 

Le mar. 22 févr. 2022 à 11:50, Sil <smog1@free.fr> a écrit :
Le 22/02/2022 à 09:27, Sil a écrit :
> /var/log/auth.log.2.gz:Feb 7 09:34:58 monserveur sshd[XXXX]:
> Disconnected from invalid user Admin 192.168.X.X port XXXX [preauth]

Mais est-ce que l'IP du fichier log peut provenir de l’extérieur ? Ou
est-ce impossible ?

Est-il possible de différencier les connexions nattées de la box et
celles du réseau local ?

Merci

Sil

Reply to: