Re: Que faire d'un log d'une attaque sur ssh ?

To: debian-user-french <debian-user-french@lists.debian.org>
Subject: Re: Que faire d'un log d'une attaque sur ssh ?
From: Decastel Sylvain <s.decastel@bluewin.ch>
Date: Tue, 18 Oct 2005 00:25:20 +0200
Message-id: <[🔎] 435424D0.8010705@bluewin.ch>
In-reply-to: <[🔎] 43541B68.2060400@pacageek.org>
References: <[🔎] 43540FF0.8090904@linucie.net> <[🔎] 43541B68.2060400@pacageek.org>



Georges Roux a écrit :

Jody wrote:

Bonjour,

J'ai dans mon auth.log une liste de tentatives de connection à un
serveur ssh, une par seconde.

L'adresse ip provient d'un FAI français (d'aprés le résultat de whois)

Impressionnant le nombre d'identifiants utilisateurs testés en
quelques temps.

Que puis-je, que dois je faire de ces journaux ?

D'avance, merci.



Jody

Change le port de ssh, n'utilise pas le 22
Leurs script sont assez primaires,  un changement de port  et ils sont
perdu.
ils testent des login du genre login: admin pwd: admin
C'est stupid mais ca marche trop souvent.

Georges

il me semble aussi que changer le port devrait suffir à tromper laplupart des vers. J'ai aussi un serveur ssh et ftp sur des ports en30000 et 40000 et je n'ai jamais eu de pareils logs...


Sylvain

Reply to:

Follow-Ups:
- Re: Que faire d'un log d'une attaque sur ssh ?
  - From: "mailingdebian@debian2.ath.cx" <mailingdebian@debian2.ath.cx>

References:
- Que faire d'un log d'une attaque sur ssh ?
  - From: Jody <jody.noury@linucie.net>
- Re: Que faire d'un log d'une attaque sur ssh ?
  - From: Georges Roux <georges.roux@pacageek.org>

Prev by Date: Re: Que faire d'un log d'une attaque sur ssh ?
Next by Date: Re: Que faire d'un log d'une attaque sur ssh ?
Previous by thread: Re: Que faire d'un log d'une attaque sur ssh ?
Next by thread: Re: Que faire d'un log d'une attaque sur ssh ?
Index(es):
- Date
- Thread