[HS] Possible attaque SSH
Bonjour la liste,
Pourriez-vous m'enlever un doute... sur un réseau local derrière une
box, j'ai des postes w$ DHCP et un serveur Debian stable à jour. Ce
serveur est accessible via SSH sur le réseau local via le port classique
et depuis l’extérieur sur un autre port via le NAT de la box. Seule
l’authentification par clé est autorisée.
J'ai un utilisateur qui s'est plaint d'avoir été banni par Fail2ban.
Après quelques recherches dans les logs, j'ai trouvé plusieurs
tentatives de connexions SSH via des adresses locales.
Un exemple de log :
/var/log/auth.log.2.gz:Feb 7 09:34:58 monserveur sshd[XXXX]:
Disconnected from invalid user Admin 192.168.X.X port XXXX [preauth]
Est-il possible que l'attaque vienne quand même de l’extérieur ? Ou
faut-il suspecter les postes w$ ?
Par avance merci
Sil
Reply to: