Bonsoir, vous comprenez cette ligne auth.log?
je commencais à me sentir confiant avec auth.log mais je n’ai jamais vu cette ligne !
edit j’ai rajouté toutes les lignes en rapport avec l’évenement mais je n’ai toujours pas compris l’histoire du maps to sbc… ca ne m’est jamais arrivé, j’ai peur de me faire attaquer manuellement par autre chose qu’un script 
edit2 : ah non c’est bien un bruteforce.
Cela signifie que l’adresse IP 218.199.144.25 a pour reverse DNS sbc.hustwb.edu.cn, mais ce nom de domaine pointe vers une adresse IP différente (219.140.64.136). Cette anomalie peut être le signe d’un problème de sécurité si on se fie au seul reverse DNS (ce que personne de sensé n’est assez téméraire pour faire) pour identifier ou authentifier une machine distante.
Ici c’est assez spécial, des requêtes DNS successives sur 218.199.144.25 renvoient plusieurs noms différents qui sont des alias (CNAME) pointant tous vers www1.hustwb.edu.cn (219.140.64.136).
Pour le reste, c’est juste encore une attaque SSH au dictionnaire depuis une machine en Chine probablement compromise. Du bruit.
merci,
du coup c’est vraiment bizare parce que je vois du vrai bruteforce avec “invalid user sysadmin” puis “tc” puis “teamspeak” puis “telnet” puis “test” (je me demande pourquoi fail2ban ne l’a pas déjà banni…)
du coup c’est la seule ip que j’ai jamais vu à faire du bruteforce avec un reverse de renseigné !
edit : ah oui compromise ce serait plus logique
Tout dépend de la configuration des jails actives dans fail2ban.
C’est finit les tentatives de brute force débile qui aboutissaient systématiquement par un ban de l’IP, actuellement c’est une, deux ou trois tentatives maximum sur un cycle de plusieurs jours/heures.
Les mecs sont bien plus patient.
Ah ? Ils ne doivent pas tous être au courant alors.
grep -c "Failed password for root from 43.229.53.12" /var/log/auth.log
2474
en y repensant c’est vraiment trop facile de kick le bruteforce.
Dans mon cas en tout cas, je suis le seul admin de mon serveur et je me connecte toujours de la même plage d’IP…