Hack ssh ?

Franck_FR · Novembre 25, 2016, 9:22pm

Bonjour,

Pouvez vous me donner un avis, SVP ?

Sur l’une de mes machines, j’ai un “connection closed” pour une certaine adresse ip mais aucune trace de connexion établie pour cette même adresse.

Un “hackeur” aurait réussi à rentrer puis a effacer ses traces ?

root@srv-deb:/var/log# grep -ir “71.56.133.25” *.log
auth.log:Nov 25 20:27:58 srv-deb sshd[8319]: Connection closed by 71.56.133.25 [preauth]
shorewall-init.log:Nov 25 21:46:54 “71.56.133.25” added to blacklist
root@srv-deb:/var/log#

J’ai fait une recherche sur le net et j’ai trouvé que cette IP est listée dans https://github.com/firehol/blocklist-ipsets/blob/master/openbl_30d.ipset

Super-Baleine · Novembre 25, 2016, 10:41pm

Hey,
Je dirais que le mec n’a pas pu se co’, tout simplement car il n’avait pas le mot de passe…

Franck_FR · Novembre 27, 2016, 10:24am

Merci pour cette réponse.
Je me suis posé cette question car habituellement lorsqu’il y une tentative de connexion, je vois au minimum deux lignes pour une même adresse ip (voir exemple ci-dessous), alors que cette foi-ci, j’ai vu une seule ligne.

Nov 26 19:26:48 srv-deb sshd[16544]: Failed password for invalid user admin from 123.31.34.93 port 59408 ssh2
Nov 26 19:26:48 srv-deb sshd[16544]: error: Received disconnect from 123.31.34.93: 3: com.jcraft.jsch.JSchException: Auth fail [preauth]

TrashHard · Novembre 30, 2016, 3:08pm

Salut,

Tu as la réponse ici : http://unix.stackexchange.com/questions/102502/meaning-of-connection-closed-by-xxx-preauth-in-sshd-logs

La connexion est close car il n’y a pas eu de tentative d’authentification.

Franck_FR · Novembre 27, 2016, 10:51am

Merci pour ta réponse.

Super-Baleine · Novembre 30, 2016, 3:07pm

Du coup tu mets le petit “résolu” ? x)