Attaque via ssh? nan..
Bonjour.
Alors que je parcourais mes logs, voici ce que j'aperçois dans
/var/log/auth.log:
Nov 5 14:26:52 cacao sshd[4842]: Illegal user test from 211.252.9.126
Nov 5 14:26:53 cacao sshd[4842]: error: Could not get shadow
information for NOUSER
Nov 5 14:26:53 cacao sshd[4842]: Failed
password for illegal user test from 211.252.9.126 port 54365 ssh2
Nov 5 14:26:56 cacao sshd[4844]: Illegal user guest from 211.252.9.126
Nov 5 14:26:56 cacao sshd[4844]: error: Could not get shadow
information for NOUSER
Nov 5 14:26:56 cacao sshd[4844]: Failed password for
illegal user guest from 211.252.9.126 port 54515 ssh2
Nov 5 14:26:59 cacao sshd[4846]: Illegal user admin from
211.252.9.126
[etc... sur 300 lignes avec à chaque fois des username différents et
sur des ports différents, de 40000 à 60000 environ].
plus tard:
Nov 5 22:46:57 cacao sshd[11451]: error: Could not get shadow
information for NOUSER
Nov 5 22:46:57 cacao sshd[11451]: Failed password for illegal user
apache from 210.7.65.253 port 54142 ssh2
Nov 5 22:47:02 cacao sshd[11453]: reverse mapping checking getaddrinfo
for ptil-253-65-del.primus-india.net failed - POSSIBLE BREAK IN
ATTEMPT!
et ce par grappe pendant 5 minutes environ.
Mais heureusement pas de trace de loggin succefull.
Mes questions:
1) est-ce une attaque connue? si oui par quel méchant robot? pourquoi
les logs reportent des ports élevés (genre 44756) alors que le service
ssh tourne sur le 22?
2) comment s'en prémunir sachant que je dois avoir un accès ssh de
l'extérieur?
3) dois-je me soucier d'autre(s) chose(s) :-) ?
D'avance merci
Info:
Debian sarge , noyau 2.6.8
ssh version 3.8.1p1-8.sarge.2
Reply to: