Machine scanée, tentatice d'accès par ssh dénié et relay smtp refusé

To: debian-user-french@lists.debian.org
Subject: Machine scanée, tentatice d'accès par ssh dénié et relay smtp refusé
From: Christophe Lincoln <leks@libordux.org>
Date: Mon, 07 Nov 2005 13:53:39 +0100
Message-id: <[🔎] 436F4E53.9040804@libordux.org>

Bonjour la liste,

2 petites quetions, ma machine serveur est régulièrement scannée,

et je reçois des rapports régulier de logcheck m'avertissant de tentatives

d'accès echouées par ssh, avec des nom d'utilisateur divers ( des milliers).

Voici un bout du rapport de logcheck concernant ssh.

System Events
=-=-=-=-=-=-=
Nov  2 15:03:55 localhost sshd[619]: scanned from ::ffff:83.16.166.190
with SSH-1.0-SSH_Version_Mapper.  Don't panic.
Nov  2 15:03:55 localhost sshd[618]: Did not receive identification string
from ::ffff:83.16.166.190
Nov  2 15:28:31 localhost sshd[927]: Illegal user adm from ::ffff:134.155.48.52
Nov  2 15:28:32 localhost sshd[935]: Illegal user halt from ::ffff:134.155.48.52
Nov  2 15:28:43 localhost sshd[943]: Illegal user operator from ::ffff:134.155.48.52
Nov  2 15:28:44 localhost sshd[947]: Illegal user gopher from ::ffff:134.155.48.52
Nov  2 15:28:44 localhost sshd[951]: Illegal user dbus from ::ffff:134.155.48.52
Nov  2 15:28:51 localhost sshd[953]: Illegal user vcsa from ::ffff:134.155.48.52
Nov  2 15:28:51 localhost sshd[968]: Illegal user nscd from ::ffff:134.155.48.52

etc....etc... etc...


J' ai aussi constaté un tentative échouée d'utilisation de notre serveur comme relais!

Mais heureusement Debian est trés bien sécurisée par défaut! Merci Debian!(je n'ai pas touché a la config de Postfix sauf pour


Security Events
=-=-=-=-=-=-=-=
Nov  3 01:44:27 localhost postfix/smtpd[14024]: NOQUEUE: reject: RCPT from
219-84-8-16-adsl-tpe.dynamic.so-net.net.tw[219.84.8.16]: 554 <dvdr_mail2000@yahoo.com.cn>:
Relay access denied; from=<lee@msa.hinet.net> to=<dvdr_mail2000@yahoo.com.cn>
proto=SMTP

C'est bien une tentative de relay? Dois-je avertir quelqu'un?


Du coup j'ai installé harden, désinstallé le ftp, telnet et des services d'inetd, au profit de ssh en interdisant
la connexion ssh de root, j'utilise plutôt su. J'ai aussi configuré iptable avec firestarter pour n'ouvrir que
les ports pour Apache , ssh, et dns, mais dans un provhe avenir je vais utiliser le smtp et le pop.

Que puis-je faire de plus pour sécutisé ma Debian chérie? et surtout ssh car depuis le message du 2 nov ci-dessus
j'ai eu encore pleins de tentatives!

J'espère avoir été assez clair.

Christophe

Reply to:

Follow-Ups:
- Re: Machine scanée, tentatice d'accès par ssh dénié et relay smtp refusé
  - From: François Boisson <user.anti-spam@maison.homelinux.net>
- Re: Machine scanée, tentatice d'accès par ssh dénié et relay smtp refusé
  - From: manioul <manioul@manioul.org>

Prev by Date: Re: nfs server
Next by Date: Re: Problème avec le DMA
Previous by thread: Re: nfs server (ldap + export nfs /home + kde)
Next by thread: Re: Machine scanée, tentatice d'accès par ssh dénié et relay smtp refusé
Index(es):
- Date
- Thread