Re: [HS] Que faire d'un log d'une attaque sur ssh ?
François Boisson a écrit :
> francois@cerbere:~$ grep -c " Failed password" /var/log/auth.log
> 650
> francois@cerbere:~$ grep -c " Failed password" /var/log/auth.log.0
> 2263
Ha chez moi, il n'y a que du "Illegal user" et pas de "Failed password"
# cat /var/log/auth.log /var/log/auth.log.0 | grep -c "Illegal user"
4255
# cat /var/log/auth.log /var/log/auth.log.0 | grep -c "Failed password"
0
> soient testés. Les adressses IP sur la dernière semaine sont les
> suivantes:
>
> 147.46.132.237
> 158.42.204.26
> 202.141.1.21
> 202.194.3.67
> 210.51.189.186
> 218.153.147.92
> 220.133.80.16
> 59.120.58.248
> 65.66.145.145
> 66.221.74.212
> 66.90.73.235
> 82.33.118.31
> 83.17.58.154
Ha ici, ils sont moins nombreux ...
202.109.72.236
202.143.134.179
202.194.3.67
203.92.35.194
208.49.144.7
213.205.146.22
213.221.41.91
216.36.149.31
218.153.147.92
219.144.186.10
69.60.110.81
82.79.225.20
ça nous en fait 2 en commun :
202.194.3.67 => net.edu.cn
218.153.147.92 => kornet.net
--
Thomas Clavier http://www.tcweb.org
Lille Sans Fil http://www.lillesansfil.org
+33 (0)6 20 81 81 30 JabberID : tom@jabber.tcweb.org
Reply to: