Re: intrusion par ssh

[Steve <dlist@bluewin.ch>]

Le mercredi 23 mar 2005 à 11 h 26, Gwendal a dit:

> 
> Bonjour,

salut

> 
> Ci-après le contenu de deux logchecks de ce matin. Il me semble
> qu'il s'agit de tentatives (infructueuses:) de se loguer sur ma
> machine via ssh.

voui..

> 
> Quelqu'un peut-il m'indiquer comment je devrais réagir en termes de
> sécurisation, identification (commandes) et répression (abuse)?
> 

il y a déjà eu pas mal de discussion à ce sujet ici, regardes dans les
archives.

Mais en réumé:

rien, ça fait partie du "jeu".... à part de pas donner l'accès root ur
ton serveur sshd et choisir des bons mots de passe.. et faire
confiance aux créateurs de ce programme ;-)

j'ai écrit un petit programme qui me résume ces tentatives, dont voici
le résutat:

-- Tentative unique pour les utilisateurs nommé:

andrew  angel   angela  ashley  austin  ben     benedict       
benjamin        benny   bernardo        berta   billy   bitmap  bizkit
 bjoern  bobby    brandon brian   captain carmen  charlie daniel 
david   eagle   emily   eric    ftp     gracie  jason   jimmy  
jonathan        jordan  justin   leonard lion    magic   mailman
martin  nicole  oracle9 richard smith   stan    stephen steven  sylvia
 system  tom     tomcat4 webalizer

Ok? [Enter]


-- Tentatives multiples (2 - 10)

cyrus (7), guest (7), horde (7), iceuser (7), matt (7), rolo (7),
webmaster (7), www (7), wwwrun (7), account (6), adam (6), alan (6),
apache (6), cip51 (6), cip52 (6), cosmin (6), data (6), frank (6),
george (6), henry (6), jane (6), john (6), master (6), noc (6), pamela
(6), server (6), sybase (6), webadmin (5), student (3),
gateway (2), hackman (2), informix (2), lpd (2), michael (2), sysadmin
(2), william (2), 

Content? [Enter]


-- Beaucoup de tentatives (>10)!

78      admin
63      test
21      user
16      adm
14      patrick
13      oracle
12      web

Okay? [Enter]


-- Localisation geographique

168.223.202.226         US, United States
192.168.2.3             IP Address not found
203.229.186.232         KR, Korea, Republic of
208.13.106.89           US, United States
210.203.70.163          TW, Taiwan
210.70.125.8            TW, Taiwan
211.218.242.188         KR, Korea, Republic of
211.39.142.45           KR, Korea, Republic of
211.46.35.70            KR, Korea, Republic of
216.201.160.194         US, United States
216.229.162.35          US, United States
220.65.55.130           KR, Korea, Republic of
61.103.20.173           KR, Korea, Republic of
66.147.238.231          US, United States
69.107.39.141           US, United States
81.155.29.100           GB, United Kingdom
82.202.127.114          CZ, Czech Republic
165.194.84.133          KR, Korea, Republic of
168.223.202.226         US, United States
210.203.70.163          TW, Taiwan
210.70.125.8            TW, Taiwan
211.218.242.188         KR, Korea, Republic of
211.39.142.45           KR, Korea, Republic of
211.46.35.70            KR, Korea, Republic of
216.201.160.194         US, United States
216.229.162.35          US, United States
220.65.55.130           KR, Korea, Republic of
61.103.20.173           KR, Korea, Republic of
64.62.164.231           US, United States
66.147.238.231          US, United States
69.107.39.141           US, United States
81.155.29.100           GB, United Kingdom
82.202.127.114          CZ, Czech Republic

Donc j'évite d'appeler mes utilisateurs avec ces identifiants, ça
réduit (un peu) les risques..

Bonne journée.

steve