Re: Que faire d'un log d'une attaque sur ssh ?
Le Mon, 17 Oct 2005 22:56:16 +0200
Jody <jody.noury@linucie.net> a écrit:
> Bonjour,
>
> J'ai dans mon auth.log une liste de tentatives de connection à un
> serveur ssh, une par seconde.
>
> L'adresse ip provient d'un FAI français (d'aprés le résultat de whois)
>
> Impressionnant le nombre d'identifiants utilisateurs testés en quelques
> temps.
>
> Que puis-je, que dois je faire de ces journaux ?
francois@cerbere:~$ grep -c " Failed password" /var/log/auth.log
650
francois@cerbere:~$ grep -c " Failed password" /var/log/auth.log.0
2263
francois@cerbere:~$ grep " Failed password" /var/log/auth.log.0 \
| awk '{print $11}' |uniq | grep -c ""
20
francois@cerbere:~$ grep " Failed password" /var/log/auth.log
| awk '{print $11}' |uniq | grep -c ""
16
francois@cerbere:~$
En clair chez moi, un 20 de gus par semaine essaye d'entrer sur la
machine avec en gros une cantaine d'essais à chaque fois. En gros 10%
ont un programme de test suffisament complet pour que 95% de mes comptes
soient testés. Les adressses IP sur la dernière semaine sont les
suivantes:
147.46.132.237
158.42.204.26
202.141.1.21
202.194.3.67
210.51.189.186
218.153.147.92
220.133.80.16
59.120.58.248
65.66.145.145
66.221.74.212
66.90.73.235
82.33.118.31
83.17.58.154
Bref, du très banal. Tu peux toujours envoyer au FAI mais ça sera
confié à l'inspecteur Aupanier...
François Boisson
Reply to: