1

j'en avais marre de trouver ça chaque jour:
################### Logwatch 7.3.6 (05/19/07) ####################
       Processing Initiated: Sun Aug 10 04:22:30 2008
       Date Range Processed: yesterday
                             ( 2008-Aug-09 )
                             Period is day.
     Detail Level of Output: 0
             Type of Output: unformatted
          Logfiles for Host: myserver
 ##################################################################

 --------------------- pam_unix Begin ------------------------

 sshd:
   Authentication Failures:
      unknown (sd-1181.dedibox.fr): 1843 Time(s)
      root (sd-1181.dedibox.fr): 580 Time(s)
      unknown (203.14.176.62): 421 Time(s)
      root (203.14.176.62): 199 Time(s)
      unknown (163.20.186.2): 165 Time(s)
      unknown (201-26-212-89.dsl.telesp.net.br): 95 Time(s)
      unknown (221.6.98.140): 48 Time(s)
      mail (sd-1181.dedibox.fr): 5 Time(s)
      ftp (sd-1181.dedibox.fr): 4 Time(s)
      root (221.6.98.140): 4 Time(s)
      adm (sd-1181.dedibox.fr): 3 Time(s)
      root (201-26-212-89.dsl.telesp.net.br): 3 Time(s)
      apache (203.14.176.62): 2 Time(s)
      netdump (sd-1181.dedibox.fr): 2 Time(s)
      polkituser (sd-1181.dedibox.fr): 2 Time(s)
      apache (sd-1181.dedibox.fr): 1 Time(s)
      avahi (sd-1181.dedibox.fr): 1 Time(s)
      bin (203.14.176.62): 1 Time(s)
      bin (sd-1181.dedibox.fr): 1 Time(s)
      dbus (sd-1181.dedibox.fr): 1 Time(s)
      distcache (sd-1181.dedibox.fr): 1 Time(s)
      games (163.20.186.2): 1 Time(s)
      games (203.14.176.62): 1 Time(s)
      games (221.6.98.140): 1 Time(s)
      games (sd-1181.dedibox.fr): 1 Time(s)
      gopher (sd-1181.dedibox.fr): 1 Time(s)
      haldaemon (sd-1181.dedibox.fr): 1 Time(s)
      halt (sd-1181.dedibox.fr): 1 Time(s)
      lp (221.6.98.140): 1 Time(s)
      lp (sd-1181.dedibox.fr): 1 Time(s)
      mail (163.20.186.2): 1 Time(s)
      mail (201-26-212-89.dsl.telesp.net.br): 1 Time(s)
      mail (203.14.176.62): 1 Time(s)
      mailnull (sd-1181.dedibox.fr): 1 Time(s)
      mysql (163.20.186.2): 1 Time(s)
      mysql (sd-1181.dedibox.fr): 1 Time(s)
      named (sd-1181.dedibox.fr): 1 Time(s)
      news (163.20.186.2): 1 Time(s)
      news (203.14.176.62): 1 Time(s)
      news (221.6.98.140): 1 Time(s)
      news (sd-1181.dedibox.fr): 1 Time(s)
      nfsnobody (sd-1181.dedibox.fr): 1 Time(s)
      nobody (sd-1181.dedibox.fr): 1 Time(s)
      nscd (sd-1181.dedibox.fr): 1 Time(s)
      ntp (sd-1181.dedibox.fr): 1 Time(s)
      operator (sd-1181.dedibox.fr): 1 Time(s)
      pcap (sd-1181.dedibox.fr): 1 Time(s)
      root (119.110.96.131): 1 Time(s)
      root (163.20.186.2): 1 Time(s)
      root (203.197.82.242): 1 Time(s)
      rpc (sd-1181.dedibox.fr): 1 Time(s)
      rpcuser (sd-1181.dedibox.fr): 1 Time(s)
      shutdown (sd-1181.dedibox.fr): 1 Time(s)
      smmsp (203.14.176.62): 1 Time(s)
      smmsp (sd-1181.dedibox.fr): 1 Time(s)
      sshd (sd-1181.dedibox.fr): 1 Time(s)
      sync (sd-1181.dedibox.fr): 1 Time(s)
      unknown (119.110.96.131): 1 Time(s)
      unknown (203.197.82.242): 1 Time(s)
      uucp (sd-1181.dedibox.fr): 1 Time(s)
   Invalid Users:
      Unknown Account: 2574 Time(s)


 ---------------------- pam_unix End -------------------------


 --------------------- SSHD Begin ------------------------


 Failed logins from:
   88.191.12.24 (sd-1181.dedibox.fr): 623 times
   119.110.96.131: 1 time
   163.20.186.2: 5 times
   201.26.212.89 (201-26-212-89.dsl.telesp.net.br): 4 times
   203.14.176.62: 206 times
   203.197.82.242: 1 time
   221.6.98.140: 7 times

 Illegal users from:
   88.191.12.24 (sd-1181.dedibox.fr): 1843 times
   119.110.96.131: 1 time
   163.20.186.2: 165 times
   201.26.212.89 (201-26-212-89.dsl.telesp.net.br): 95 times
   203.14.176.62: 421 times
   203.197.82.242: 1 time
   221.6.98.140: 48 times


 Received disconnect:
   11: Bye Bye : 3416 Time(s)

 ---------------------- SSHD End -------------------------


alors je suis passé en auth clé publique et hop:

################### Logwatch 7.3.6 (05/19/07) ####################
       Processing Initiated: Tue Aug 12 04:22:30 2008
       Date Range Processed: yesterday
                             ( 2008-Aug-11 )
                             Period is day.
     Detail Level of Output: 0
             Type of Output: unformatted
          Logfiles for Host: myserver
 ##################################################################

 --------------------- SSHD Begin ------------------------

 Received disconnect:
   11: Bye Bye : 2565 Time(s)

 ---------------------- SSHD End -------------------------


love (par contre j'ai pas intéret à oublier ou j'ai foutu ma clé grin)

2

avatar
I'm on a boat motherfucker, don't you ever forget

3

En plus de sshdfilter, regarde aussi des choses comme fail2ban, denyhosts, sshguard.
avatar
Membre de la TI-Chess Team.
Co-mainteneur de GCC4TI (documentation en ligne de GCC4TI), TIEmu et TILP.
Co-admin de TI-Planet.

4

et si tu dois vraiment etre le seul a te connecter, bloque par IP...

5

maintenant à par un DoS je vois pas ce que je risque.

J'aime pas trop jouer à iptables, ça devient vite compliqué et si jamais je me gourre je serai baisé, parce que j'ai pas accès physique à la bécane.

l'auth clé publique me semble un pas supplémentaire dans la sécurité. j'avais déja un mot de passe aléatoire à 16 caractères alphanum+symboles. Déplacer le service ailleurs que sur le port 22 éliminerait aussi pas mal d'attaques sauf si les attaqueurs scannent avant de mordre.

notez que j'ai *jamais* été pwned malgré le nb quotidien d'attaques.

6

Sinon tu peux utiliser ça.

http://gentoo-wiki.com/HOWTO_Port_Knocking
avatar
I'm on a boat motherfucker, don't you ever forget

7

squalyl (./5) :
notez que j'ai *jamais* été pwned malgré le nb quotidien d'attaques.

qu'est-ce que t'en sais ? embarrassed

« The biggest civil liberty of all is not to be killed by a terrorist. » (Geoff Hoon, ministre des transports anglais)

8

9

sha1 de tous les binaires de /bin:/usr/bin et al, c'est déja une garantie. Si l'un change je serai averti.

sinon pas mal le port knocking.

10

squalyl (./9) :
sha1 de tous les binaires de /bin:/usr/bin et al, c'est déja une garantie.
Qu'est-ce qui te garantit que le programme de calcul du SHA a pas été truandé ? grin
dehors
avatar
Zeroblog

« Tout homme porte sur l'épaule gauche un singe et, sur l'épaule droite, un perroquet. » — Jean Cocteau
« Moi je cherche plus de logique non plus. C'est surement pour cela que j'apprécie les Ataris, ils sont aussi logiques que moi ! » — GT Turbo

11

rien et je m'en fiche, samsufi grin

si un jour je vois des trafics chelous c'est réinstall et basta.

12

ben oui mais le principe d'un rootkit c'est qu'on le voit pas, il ne faut jamais dire jamais ^^ (et les trafics chelous, si y a un rootkit tu les vois pas... à moins que dedibox fournisse des outils externes ?)

« The biggest civil liberty of all is not to be killed by a terrorist. » (Geoff Hoon, ministre des transports anglais)

13

oui, monitoring de bande passante par exemple.

et je verrais même pas de la charge CPU?

14

enfin tu ne connais quand même pas à l'octet près quelle devrait être ta bande passante théorique, pareil pour le CPU ? (surtout avec 2500 requêtes SSH bidon par jour trinon)

« The biggest civil liberty of all is not to be killed by a terrorist. » (Geoff Hoon, ministre des transports anglais)

15

meuh si triso

non, pas du tout. Mais je vois pas comment rentrer dans mon serveur autrement que par ssh, et mon mot de passe ssh est incrackable par un bot.

sans rigoler, sans oui mais, sans exagération, je pense pas que qn ait pu rentrer dans mon serveur.

16

ssh est faillible (à commencer par l'histoire des clés publiques faibles, par exemple). Sans parler des exploits de tous les autres services que ton serveur fournit. Si ta machine a plus de six mois, il a suffi que qqun ait obtenu un compte utilisateur quelconque pour qu'il aie pu obtenir un accès root ... bref, des failles y en a pas qu'un peu.
avatar
I'm on a boat motherfucker, don't you ever forget

17

je n'ai pas debian avec son openssl foireux. elle est sous fedora 8 avec un kernel 2.6.25.

18

 --------------------- SSHD Begin ------------------------

 Received disconnect:
   11: Bye Bye : 5437 Time(s)

 **Unmatched Entries**
 reverse mapping checking getaddrinfo for 201-88-77-202.t.pmjce700.brasiltelecom.net.br [201.88.77.202] failed - POSSIBLE BREAK-IN ATTEMPT! : 3 time(s)

 ---------------------- SSHD End -------------------------

je vais changer de port trioui

19

tout ça parceque les tentatives d'entrée se sont multipliées par 2 cheeky
avatar
pedrolane stoppe la chute des chevaux

La DNC-Team : un club plein de mystères