Re: [HS] Attaque dictionnaire distribuée sur serveur ssh.

To: mailing liste debian française <debian-user-french@lists.debian.org>
Subject: Re: [HS] Attaque dictionnaire distribuée sur serveur ssh.
From: Daniel Caillibaud <ml@editionsdidier.com>
Date: Tue, 02 Dec 2008 20:03:42 +0100
Message-id: <[🔎] 4935868E.6020305@editionsdidier.com>
In-reply-to: <[🔎] 20081202162753.f5e52e79.user.anti-spam@maison.homelinux.net>
References: <20081129042255.GB11134@kunpuu.plessy.org> <49311C28.6020509@plouf.fr.eu.org> <20081129122727.99c3f9e8.user.anti-spam@maison.homelinux.net> <200811291242.32188.debserge@free.fr> <20081129144603.ae5c433b.user.anti-spam@maison.homelinux.net> <[🔎] 49340A1C.5030104@plouf.fr.eu.org> <[🔎] 49341051.70205@grison.org> <[🔎] 20081201182409.cbe6958d.user.anti-spam@maison.homelinux.net> <[🔎] 20081201183932.5495fade@ithil.lan> <[🔎] 20081201221221.c7ea3177.user.anti-spam@maison.homelinux.net> <[🔎] 49354333.8020808@editionsdidier.com> <[🔎] 20081202162753.f5e52e79.user.anti-spam@maison.homelinux.net>

François Boisson a écrit :

Moi c'est assez primaire:

Script général


J'ai adapté à mes logs, du genre
Dec  1 03:56:47 h5 sshd[1154]: Failed password for root from 93.62.0.122 port 10058 ssh2
Dec  2 14:22:01 h5 sshd[14234]: Failed password for invalid user nicoara from 80.87.64.115 port 60029 ssh2

grep 'Failed password for ' /var/log/auth.log.0 >/tmp/SSH_douteux
grep 'Failed password for ' /var/log/auth.log>>/tmp/SSH_douteux
# on récupère la liste d'ip
awk '/Failed password for invalid user/ {print $13} /Failed password for root/ {print $11}' < /tmp/SSH_douteux |sort -u > /tmp/SSH_ips
# et on veut les fqdn
while read ip; do echo "$ip $(host $ip)"; done </tmp/SSH_ips >/tmp/SSH_ips_fqdn
# ceux qui en ont un
awk '/domain name pointer/ {print $1" "$6}' < /tmp/SSH_ips_fqdn > /tmp/SSH_ips_fqdn_trouves
# Ensuite, on veut le FAI
awk -F . '{
  ip=$1"."$2"."$3"."$4;
  if ($NF=="arpa") {next}
  if ($NF=="") {itld=NF-1}
  else {itld=NF}
  if ($(itld - 1)=="com" || $(itld - 1) == "net" || $(itld - 1)"."$itld=="co.uk") {print ip" "$(itld-2)"."$(itld-1)"."$itld}
  else {print ip" "$(itld-1)"."$(itld)}
}' < /tmp/SSH_ips_fqdn_trouves |sort -k 2 > /tmp/SSH_ip_FAI

Il reste un bug car j'ai
$ head /tmp/SSH_ip_FAI
117.18.224.147 ns2 mycitycell.com
121.243.0.153 121 vsnl.net.in
123.220.252.2 p58002-ipbffx02marunouchi ne.jp
125.64.96.186 186 163data.com.cn
140.128.127.224 pc224 edu.tw
143.239.159.63 student ucc.ie
63.159.239.143 in-addr.arpa
150.185.222.163 vibora luz.ve
163.222.185.150 in-addr.arpa
152.104.125.13 static-ip-13-125-104-152 dyxnet.com

Plus trop le temps ce soir... on verra p't' demain (plutôt semaine prochaine).

--
Daniel

Reply to:

References:
- Re: [HS] Attaque dictionnaire distribuée sur serveur ssh.
  - From: Pascal Hambourg <pascal.mail@plouf.fr.eu.org>
- Re: [HS] Attaque dictionnaire distribuée sur serveur ssh.
  - From: Régis Grison <regis@grison.org>
- Re: [HS] Attaque dictionnaire distribuée sur serveur ssh.
  - From: François Boisson <user.anti-spam@maison.homelinux.net>
- Re: [HS] Attaque dictionnaire distribuée sur serveur ssh.
  - From: Sylvain Sauvage <Sylvain.Sauvage@metanoesis.net>
- Re: [HS] Attaque dictionnaire distribuée sur serveur ssh.
  - From: François Boisson <user.anti-spam@maison.homelinux.net>
- Re: [HS] Attaque dictionnaire distribuée sur serveur ssh.
  - From: Daniel Caillibaud <ml@editionsdidier.com>
- Re: [HS] Attaque dictionnaire distribuée sur serveur ssh.
  - From: François Boisson <user.anti-spam@maison.homelinux.net>

Prev by Date: Re: [HS] Attaque dictionnaire distribuée sur serveur ssh.
Next by Date: Re: [HS] Attaque dictionnaire distribuée sur serveur ssh.
Previous by thread: Re: [HS] Attaque dictionnaire distribuée sur serveur ssh.
Next by thread: [HS] Convertir un .gif en video
Index(es):
- Date
- Thread