Re: attaque ssh?
Salut !
Ca ressemble bien a une "attaque" :
pour fiabiliser les choses :
1) interdire le login de root,
2) changer le port par default pour un autre que 22,
3) eventuellement installer iptable en autorisant que des adresses a toi
a passer sur le port de ssh
4) utiliser le principe des cles.
pour savoir si l'attaque est passée, ben il faut une ligne du genre :
Dec 5 06:40:56 localhost sshd[4293]: Accepted password for toto from
iii.iii.iii.iii port 44696 ssh2
le probleme c'est que ca peut aussi bien etre toi qui t'es connecté....
et surtout si le pirate est bon il effacera ces traces.
Il y a peut etre d'autre facon de savoir mais je ne les connais pas.
@plus !
arnaud boulliat
spetrot@free.fr a écrit :
Bonjour,
j'ai un serveur web que j'administre à distance via ssh (machine debian Sarge).
Tout ce qu'il y a de plus classique. J'ai vu dans mes logs auth.log des entrées
qui me paraissent suspectes. Il doit s'agir de tentatives d'attaques ssh.
Voilà ce que disent les logs :
Illegal user test from 219.136.9.84
Dec 4 23:53:46 myserver sshd[22991]: error: Could not get shadow information
for NOUSER
Dec 4 23:53:46 myserver sshd[22991]: Failed password for illegal user test from
219.136.9.84 port 56232 ssh2
Dec 4 23:53:49 myserver sshd[22993]: Illegal user guest from 219.136.9.84
Dec 4 23:53:49 myserver sshd[22993]: error: Could not get shadow information
for NOUSER
Qu'est-ce que cela signifie exactement?
Comment sécuriser ssh pour éviter ces attaques?
Comment savoir si l'attaque a abouti?
Merci
Stéphane
Reply to: