Discussion :

[lisa.a]

Bonjour
je débute complètement en gestion de serveur. J'ai ouvert un kimsufi il y a une 10aine de jour, je l'ai réinstallé (pour modifier la partition et mettre plus de place dans /var), et je l'ai laissé dormir jusqu'à hier où j'ai fait toutes les install en suivant la magnifique procédure décrite ici.
Tout s'est bien passée, sauf que je n'ai pas changé le port d'écoute ssh ... et à voir le message que je reçois ce matin j'ai l'impression que j'aurais du. C'est normal d'être attaqué comme ça paf d'emblée alors qu'il n'y a rien encore sur cette machine ? c'est courant ? je trouve ça fou ..;
Je manque d'expérience, est-ce que vous pouvez m'expliquer le phénomènes ?
Ci dessous des extraits du message de log.
Merci d'avance
Lisa

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
 
 sshd:
   Authentication Failures:
      root (host-static-109-185-62-28.moldtelecom.md): 221 Time(s)
      unknown (213.186.44.121): 14 Time(s)
      root (186.83.57.131): 6 Time(s)
      root (186.84.98.61): 6 Time(s)
      unknown (114.70.60.245): 3 Time(s)
   Invalid Users:
      Unknown Account: 17 Time(s)

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
 
 Failed logins from:
   109.185.62.28 (host-static-109-185-62-28.moldtelecom.md): 221 times
   186.83.57.131 (Dynamic-IP-1868357131.cable.net.co): 6 times
   186.84.98.61 (Dynamic-IP-186849861.cable.net.co): 6 times
 
 Illegal users from:
   114.70.60.245: 3 times
   213.186.44.121 (pingserv.com): 14 times

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
 
 **Unmatched Entries**
 reverse mapping checking getaddrinfo for dynamic-ip-1868357131.cable.net.co [186.83.57.131] failed - POSSIBLE BREAK-IN ATTEMPT! : 6 time(s)
 reverse mapping checking getaddrinfo for dynamic-ip-186849861.cable.net.co [186.84.98.61] failed - POSSIBLE BREAK-IN ATTEMPT! : 6 time(s)

Et la bonne nouvelle : )

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
 
Users logging in through sshd:
   lisa:
      82.225.33.10 (vol75-4-82-225-33-10.fbx.proxad.net): 10 times
   root:
      82.225.33.10 (vol75-4-82-225-33-10.fbx.proxad.net): 1 time

[matafan]

Oui c'est courant et c'est même systématique. Ce sont soit des personnes qui tentent leur coup sur des machines au hasard (sur une plage d'IPs), soit plus probablement des vers sur des machines infectées.

[lisa.a]

ah d'accord ça me rassure
un peu dingue qd meme mais bon
si je change mon port d'écoute ssh ça devrait largement réduire le bruit - ou alors j'ai rien compris à l'intérêt du changement du port d'écoute ?
Sinon si tu as des conseils, ou des liens pour les "méga grands débutants" - tout m'intéresse
je parcours google avec allégresse mais je suis intéressée par des liens "testés et approuvés"
En tout cas merci pour ta réponse
++

[matafan]

En tout cas chez moi en bindant ssh à un port quelconque non privilégié ( > 1024), ça élimine toutes ces tentatives de connexion.

[lisa.a]

Super c'est ce que j'espérais
je fais ça dès que je rentre à la maison ! merci beaucoup pour l'info
++