Re: attaque contre mon ssh...?
Le 13256ième jour après Epoch,
Yves Rutschle écrivait:
> On Tue, Apr 18, 2006 at 11:37:48PM +0200, Jean Baptiste Balleyguier wrote:
>> je crois que je suis victime d'une attaque par dictionnaire sur mon serveur
>> ssh depuis une adresse 64.182.37.226. Mes logs m'indiquen t l'erreur
>> suivante : "Invalid user ... from ..." et ça pendant des lignes et des
>> lignes, avec la même ip, et le login qui change.
>
> Ça arrive...
>
>> J'aimerai savoir comment protéger mon ssh, pour refuser cette adresse
>> spécifique au moins de se connecter à mon serveur ssh.
>> J'ai bien essayé d'éditer le /etc/hosts.allow, mais visiblement ça n'a pas
>> changé grand chose...
>> une idée ???
>
> Quand j'ai la motivation, je fais:
>
> iptables -A INPUT -p tcp -s <l'aggresseur> -j REJECT --reject-with tcp-reset
>
> Avec encore plus de motivation, on pourrait faire un script
> qui suit les logs et rejete l'adresse automatiquement.
Ou alors:
iptables -A INPUT -i eth0 -p tcp --dport ssh -m state --state NEW -m recent --set --name SSH
iptables -A INPUT -i eth0 -p tcp --dport ssh -m state --state NEW -m recent --update --seconds 60 --hitcount 4 --rttl --name SSH -j DROP
Pas de besoins de motivations ;)
Sauf pour le mettre la première fois en place...
... et je l'ai pas encore mis ;)
Reply to: