Re: [HS] Possible attaque SSH

To: debian-user-french@lists.debian.org
Subject: Re: [HS] Possible attaque SSH
From: BERTRAND Joël <joel.bertrand@systella.fr>
Date: Tue, 22 Feb 2022 11:00:19 +0100
Message-id: <[🔎] e8a59765-4dea-8efa-6c8f-f407b383ac68@systella.fr>
In-reply-to: <[🔎] c2b03add-12ca-93d9-28ca-8b756b07c4c4@free.fr>
References: <[🔎] c2b03add-12ca-93d9-28ca-8b756b07c4c4@free.fr>

Sil a écrit :
> Bonjour la liste,
> 
> Pourriez-vous m'enlever un doute... sur un réseau local derrière une
> box, j'ai des postes w$ DHCP et un serveur Debian stable à jour. Ce
> serveur est accessible via SSH sur le réseau local via le port classique
> et depuis l’extérieur sur un autre port via le NAT de la box. Seule
> l’authentification par clé est autorisée.
> 
> J'ai un utilisateur qui s'est plaint d'avoir été banni par Fail2ban.
> Après quelques recherches dans les logs, j'ai trouvé plusieurs
> tentatives de connexions SSH via des adresses locales.
> 
> Un exemple de log :
> 
> /var/log/auth.log.2.gz:Feb  7 09:34:58 monserveur sshd[XXXX]:
> Disconnected from invalid user Admin 192.168.X.X port XXXX [preauth]
> 
> Est-il possible que l'attaque vienne quand même de l’extérieur ? Ou
> faut-il suspecter les postes w$ ?
> 
> Par avance merci
	Bonjour,

	Par expérience, suspecter les postes Windows. Il y a quinze ans, j'ai
râlé avec un client qui laissait ses utilisateurs sur MSN (fallait bien
qu'ils s'occupent !) et les machines Windows ont servi de relais à des
attaques de l'extérieur malgré un firewall entrant (on m'avait interdit
le firewall sortant). Un lundi matin, je me suis fait enguirlander parce
que le serveur principal avait été attaqué (mais sans accès root,
c'était une machine sparc64).

	Cordialement,

	JKB

Reply to:

References:
- [HS] Possible attaque SSH
  - From: Sil <smog1@free.fr>

Prev by Date: [HS] Possible attaque SSH
Next by Date: Re: [HS] Possible attaque SSH
Previous by thread: [HS] Possible attaque SSH
Next by thread: Re: [HS] Possible attaque SSH
Index(es):
- Date
- Thread