Debian-facile

Bienvenue sur Debian-Facile, site d'aide pour les nouveaux utilisateurs de Debian.

Vous n'êtes pas identifié(e).

#1 24-06-2009 16:10:17

knostra
Membre
Inscription : 21-06-2009

fichier auth.log suspect

Bonjour,

j'ai affiché tout à l'heure mon fichier auth.log pour voir ce qu'il contenais et voila ce que j'ai trouvé:

Jun 24 16:06:28 xxxxxxxx sshd[32131]: Invalid user hakan from 58.20.110.21
Jun 24 16:06:28 xxxxxxxx sshd[32131]: pam_unix(sshd:auth): check pass; user unknown
Jun 24 16:06:28 xxxxxxxx sshd[32131]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=58.20.110.21
Jun 24 16:06:30 xxxxxxxx sshd[32131]: Failed password for invalid user hakan from 58.20.110.21 port 58969 ssh2


et ce n'est que la fin du fichier, je suis envahie par ces ligne, avec des noms d'utilisateur différent et aussi des ip différente.

est-ce que cela veut dire que quelqu'un tente de trouver mon mot de passe?

est-ce que quelqu'un essaye de pirater mon serveur?

et si oui qu'est-ce que je peux faire pour empêcher ces gens d'essayer?

merci

Hors ligne

#2 24-06-2009 23:43:48

knostra
Membre
Inscription : 21-06-2009

Re : fichier auth.log suspect

cobex4 a écrit :

Salut, c'est pas grave, juste des attaques par ssh smile


punaise si tu voyais la liste de ces attaques neutral sa fais flipper, bon faut y arriver pour trouver mdp quand même, mais ce qui me surprend c'est que mon site n'est pas encore en ligne j'ai aucun site mis en ligne sur ce serveur comment les pirates peuvent connaitre le nom d mon serveur ou sont ip pour tenter de le pirater?

c'est peut être des robots spéciale qui font ça?

en tous cas j'en sais rien mais on peux rien faire pour les empêcher de venir chez moi et de polluer mes logs?

Hors ligne

#3 25-06-2009 00:30:22

MaTTuX_
La Paillasse !!!
Lieu : Zoubidou-Land
Distrib. : 75 serveurs
Noyau : 3.2.0-4-amd64
(G)UI : tty et ... pas gnome en tout cas....
Inscription : 28-05-2007
Site Web

Re : fichier auth.log suspect

Tu peux configurer ton sshd_config pour autoriser seulement toi qui peut te connecter, tu peux aussi interdire l acces a l utilisateur ROOT par ssh, tu peux aussi changer le port inicial de SSH, et une fois tout configurer il te faudra redemarrer le serveur ssh .
Tu peux ajouter aussi le service KNOCK qui permet de cacher le port ssh mais il te faudra configurer le firewall pour utiliser ce service.

A toute

MaTTuX_

\o/ Le closedSource c'est tabou on a viendra tous à bout \o/

Hors ligne

#4 25-06-2009 22:51:56

palmito
Administrateur
Lieu : Dans la boite de gâteau!
Distrib. : bah....
Noyau : heu...
(G)UI : gné?
Inscription : 28-05-2007

Re : fichier auth.log suspect

Salut

Connexion par clé, il y a aussi fail2ban qui pourra t'aider a bannir les ips (très simple d'utilisation), sinon le changement du port par défaut est très efficace même si je sais que tout le monde n'est pas pour....

Hors ligne

Pied de page des forums