Bonjour à tous

Par curiosité, j’ai analysé le fichier /var/log/auth.log :

tail -f /var/log/auth.log | grep Failed Apr 15 18:27:13 debian sshd[30653]: Failed password for invalid user magic from 213.90.73.98 port 36236 ssh2 Apr 15 18:27:21 debian sshd[30658]: Failed password for invalid user magic from 213.90.73.98 port 37326 ssh2 Apr 15 18:27:29 debian sshd[30663]: Failed password for invalid user ram from 213.90.73.98 port 38560 ssh2 Apr 15 18:27:36 debian sshd[30670]: Failed password for invalid user ram from 213.90.73.98 port 39753 ssh2 Apr 15 18:27:44 debian sshd[30676]: Failed password for invalid user ram from 213.90.73.98 port 40937 ssh2
Je trouve ca bizarre, je ne connait pas cette ip puis les tentatives de connexion ne cessent pas

Cela me fait penser à du brute-force, qu’en pensez vous ?

Merci d’avance

ip-adress.com/whois/213.90.73.98

sinon as-tu les outil fail2ban d’installer ? as tu bien securisé ta debian ??

Salut,

• Change ton mot de passe, choisi quelque chose de béton…

[code]# sudo su

passwd

[/code]- Bloque la connexion de root par ssh - en attendant de savoir ce qui se passe

• Change tous tes mots de passe
• Epluches tes logs

Les tentatives sont nombreuses ?

il parait que sa scann a fond depuis une semaine …

+1 pour ce que dit Lol
c’est pouquoi il faut que tu securise ta debian a fond !! pareil pour l’ecoute du port 21 et si le serveur X ecoute sur le port 6000 tu le bloque aussi

Les bots qui tentent de se connecter par ssh, c’est fréquent.
Si t’en a marre de les voir dans tes logs, tu peux changer le port de SSH et/ou utiliser fail2ban.

L’important est d’avoir des bons mots de passe. Tu peux aussi utiliser des clés SSH pour te connecter, et interdire l’authentification par mot de passe.

lol -> zgrep ‘authentification failure’ /var/log/auth.log*

lol -> useless-use-of-cat-t30131.html

Rôôôôô les drôles…

je-suis-pirate-a-l-aide-t24068-25.html#p235964
Fran.b UUOC!

C’est le résultat qui compte…

Vous imaginez bien que je l’ai pas inventé cette commande…
Et la Bêêêêêêlle commande de Kna ne renvoie pas de résultat…

laurent@toshi:~$ zgrep 'authentification failure' /var/log/auth.log* laurent@toshi:~$ laurent@toshi:~$ expr `zcat /var/log/auth.log*gz | grep -c "authentication failure"` + ` cat /var/log/auth.log* | grep -c "authentication failure"` 84

Elle est belle et très UUOC mais pas bonne…

Merci pour vos reponses !

Non, je l’install de suite.
Pour ce qui est de la securisation de ma debian, je n’en ai aucune faute de connaissance (je suis debutant), toute info (comme fail2ban), tuto ou site sur le sujet m’interesse

# expr `zcat /var/log/auth.log*gz | grep -c "authentication failure"` + ` cat /var/log/auth.log* | grep -c "authentication failure"` 58893

Merci pour la commande

Re,

[quote]58893[/quote]Bravo!
Ils t’aiment bien…

T’as intérêt à changer fissa tes mots de passe;
T’as intérêt à bloquer l’accès ssh à root;
Éventuellement change le port d’écioute de ssh. 22 c’est un peu connu…
Installe fail2ban et vérifie qu’il fonctionne…

J’ai installé chkrootkit et lancé ce dernier :

Searching for suspicious files and dirs, it may take a while... The following suspicious files and directories were found: /usr/lib/icedove/.autoreg /usr/lib/pymodules/python2.6/.path /usr/lib/iceweasel/.autoreg /usr/lib/xulrunner-1.9.1/.autoreg /usr/lib/jvm/java-1.5.0-gcj-4.4/.java-gcj-4.4.jinfo /usr/lib/jvm/.java-6-openjdk.jinfo /lib/init/rw/.ramfs

je suppose que je ne peu pas simplement supprimer ces fichier pour fixer le probleme …

[quote=“lol”]Bravo!
Ils t’aiment bien… [/quote]

Oui lol je me suis dis la meme chose

Fail2ban est installé, faut-il le configurer ?

[quote=“lol”]T’as intérêt à bloquer l’accès ssh à root;
Éventuellement change le port d’écoute de ssh. 22 c’est un peu connu…[/quote]

Les deux points ci-dessus, je ne sait pas encore faire, si tu pouvait me guider (explications/lien).

En parallèle je vais parler un peu avec ce tres cher google, voir un peu ce qu’il en dit ^^

Merci encore

on la redonnera jamais assez : debian.org/doc/manuals/secur … es.fr.html

[quote=“lol”]Re,

[quote]58893[/quote]Bravo!
Ils t’aiment bien…

T’as intérêt à changer fissa tes mots de passe;
T’as intérêt à bloquer l’accès ssh à root;
Éventuellement change le port d’écioute de ssh. 22 c’est un peu connu…
Installe fail2ban et vérifie qu’il fonctionne…[/quote]

vaux mieux le voir comme ca en effet

Salut,

Excuse-moi je n’avais pas saisi que tu débutais.

Configure rapidement ton pare feu : installation-parefeu-iptables-pour-les-nuls-t1901.html

Au fait, SSH est-il installé ? Tu t’en sert ?
Sinon, ils peuvent toujours essayer…

Si oui, pour faire rapide:
dans /etc/hosts.deny

Il sera toujours temps, si tu te sert parfois de ssh pour te connecter à ta machine d’alléger un peu.

regarde tu n’est pas tout seul google.fr/search?hl=fr&sourc … ogle&meta=

cyberciti.biz/faq/block-ssh- … denyhosts/ etc…

J’ai modifié mes mot des passe et installé le firewall, plus rien dans /var/log/auth.log.

Je vais lire le lien suivant à tete reposée :

http://www.debian.org/doc/manuals/securing-debian-howto/ch-sec-services.fr.html

est-il complet ? suffira-il a m’expliquer comment securiser debian puis mettre tout ca en place ?

Une fois de plus je ne sait comment vous remercier ^^

Une cyber-boite de leonidas ca se trouve sur le net ?

Merci !

[quote=“lol”]Rôôôôô les drôles…

je-suis-pirate-a-l-aide-t24068-25.html#p235964
Fran.b UUOC!

C’est le résultat qui compte…

Vous imaginez bien que je l’ai pas inventé cette commande…
Et la Bêêêêêêlle commande de Kna ne renvoie pas de résultat…

laurent@toshi:~$ zgrep 'authentification failure' /var/log/auth.log* laurent@toshi:~$ laurent@toshi:~$ expr `zcat /var/log/auth.log*gz | grep -c "authentication failure"` + ` cat /var/log/auth.log* | grep -c "authentication failure"` 84

Elle est belle et très UUOC mais pas bonne… [/quote]

Ah ben ça m’apprendra à plussoyer sans vérifier

Déjà, ça ne peut fonctionner car Kna a écrit authentification au lieu de authentication.

Ça marche déjà mieux comme ça:

$ zgrep -c 'authentication failure' /var/log/auth.log* /var/log/auth.log:0 /var/log/auth.log.1:2 /var/log/auth.log.2.gz:9 /var/log/auth.log.3.gz:5 /var/log/auth.log.4.gz:5

J’ai pu quand même pu trouver un peu plus sexy que la commande de fran.b (zgrep me plait bien):

$ zgrep 'authentication failure' /var/log/auth.log* | wc -l 21

J’ai vérifié, les 21 authentication failure sont de moi…

[quote=“Moker”]

Une cyber-boite de leonidas ca se trouve sur le net ?

Merci ![/quote]
Oui, mais il y a une règle sur ce forum, il faut tout envoyer au chef et c’est lui qui fait la redistribution :
1 pour un membre – 1 pour le chef
1 pour le second membre – 1 pour le chef
et ainsi de suite

[quote=“AnatomicJC”]J’ai pu quand même pu trouver un peu plus sexy que la commande de fran.b (zgrep me plait bien):[/quote]Minuit… zai pu quand même pu… hein!

D’accord avec toi, j’aurais aussi pu voir ou était l’erreur… J’ai pas été percutant non plus…
La commande de Kna est Bôôôôôcoup plus facile à retenir… Je note cette commande dans un coin de mon p’tit wiki.

[quote=“Moker”]J’ai modifié mes mot des passe et installé le firewall, plus rien dans /var/log/auth.log.[/quote]Cool!
Pour ssh, ça se passe dans le fichier /etc/ssh/sshd_config.

Les paramètres importants dont je parlais hier
Port 22
PermitRootLogin yes

Puis “service ssh restart”

Vraiment Débutant ? non…

[quote=“ricardo”]Oui, mais il y a une règle sur ce forum … et ainsi de suite [/quote]N’écoute pas Ricardo, il n’a pas droit aux cyber sucreries…

Bonsoir

vu le nombre de fois ou j’ai evité la catastrophe grace à vous, vous méritez bien ce petit cyber-remerciement :

Bon je n’arriverait pas a satisfaire toute la communauté, mais le coeur y est ^^

Oui et non, dans le sens ou je travaille sur un desk sous debian chaque jour grace à mon entreprise.

Malheureusement je m’occupe principalement de hardware, je n’est pas le temps d’y apprendre le soft.

Je suis tombé sous le charme de linux, peu à peu j’avance mais je me considere toujours comme debutant.

J’aimerais plus que tout me former à l’administration systeme/reseaux sous ce dernier

Un dernier bravo à tous pour la richesse de vos réponse, l’acceuil et votre bonne humeur

à bientot.