le Sat, Nov 06, 2004 at 04:54:17PM +0100, dlist a ecrit:
> Bonjour.
> Alors que je parcourais mes logs, voici ce que j'aperçois dans
> /var/log/auth.log:
> Nov 5 14:26:52 cacao sshd[4842]: Illegal user test from 211.252.9.126
> Mes questions:
> 1) est-ce une attaque connue? si oui par quel méchant robot?
C'est effectivement une "attaque" connue. En fait un petit programme qui
teste en "force brute" le password.lst de john avec des logins
classsiques. Un exemple:
http://www.k-otik.com/exploits/08202004.brutessh2.c.php
Bien sur la liste a du evoluer dans les milieux autorises ;-)
Donc pas de risque si tes couples login/password n'ont pas de chance de se
voir mis dans la liste...
> pourquoi
> les logs reportent des ports élevés (genre 44756) alors que le service
> ssh tourne sur le 22?
En fait c'est pas ports de connection sur _ta_ machines qui sont loggue,
mais les ports de depart des paquets, donc des ports ouvert par le
programme "de test" et donc generalement eleves.
> 2) comment s'en prémunir sachant que je dois avoir un accès ssh de
> l'extérieur?
Pas moyen, ou alors tu deplace sshd sur un port non standard. Mais c'est
plus handicapant pour toi...
> 3) dois-je me soucier d'autre(s) chose(s) :-) ?
Sans doute ;-) sinon ca serait pas drole d'avoir une machine sur internet
;-)
Tus
--
look 'ma a FAQ:
http://wiki.debian.net/?DebianFrench
guillaume.artus@free.fr
Attachment:
signature.asc
Description: Digital signature