Re: Que faire d'un log d'une attaque sur ssh ?

["mailingdebian@debian2.ath.cx" <mailingdebian@debian2.ath.cx>]

Install fail2ban avec apt-get c'est outil qui résoudra tes problèmes...


Decastel Sylvain a écrit :
> 
> 
> Georges Roux a écrit :
> 
>> Jody wrote:
>>
>>  
>>
>>> Bonjour,
>>>
>>> J'ai dans mon auth.log une liste de tentatives de connection à un
>>> serveur ssh, une par seconde.
>>>
>>> L'adresse ip provient d'un FAI français (d'aprés le résultat de whois)
>>>
>>> Impressionnant le nombre d'identifiants utilisateurs testés en
>>> quelques temps.
>>>
>>> Que puis-je, que dois je faire de ces journaux ?
>>>
>>> D'avance, merci.
>>>
>>>
>>>
>>> Jody
>>>
>>>
>>>   
>>
>> Change le port de ssh, n'utilise pas le 22
>> Leurs script sont assez primaires,  un changement de port  et ils sont
>> perdu.
>> ils testent des login du genre login: admin pwd: admin
>> C'est stupid mais ca marche trop souvent.
>>
>> Georges
>>
>>  
>>
> 
> il me semble aussi que changer le port devrait suffir à tromper la
> plupart des vers. J'ai aussi un serveur ssh et ftp sur des ports en
> 30000 et 40000 et je n'ai jamais eu de pareils logs...
> 
> Sylvain
> 
>