message log de mon serveur - ça me plait pas :(

lisa.a · 29/11/2010, 09h02

Bonjour
je débute complètement en gestion de serveur. J'ai ouvert un kimsufi il y a une 10aine de jour, je l'ai réinstallé (pour modifier la partition et mettre plus de place dans /var), et je l'ai laissé dormir jusqu'à hier où j'ai fait toutes les install en suivant la magnifique procédure décrite ici.
Tout s'est bien passée, sauf que je n'ai pas changé le port d'écoute ssh ... et à voir le message que je reçois ce matin j'ai l'impression que j'aurais du. C'est normal d'être attaqué comme ça paf d'emblée alors qu'il n'y a rien encore sur cette machine ? c'est courant ? je trouve ça fou ..;
Je manque d'expérience, est-ce que vous pouvez m'expliquer le phénomènes ?
Ci dessous des extraits du message de log.
Merci d'avance

Lisa

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
 
 sshd:
   Authentication Failures:
      root (host-static-109-185-62-28.moldtelecom.md): 221 Time(s)
      unknown (213.186.44.121): 14 Time(s)
      root (186.83.57.131): 6 Time(s)
      root (186.84.98.61): 6 Time(s)
      unknown (114.70.60.245): 3 Time(s)
   Invalid Users:
      Unknown Account: 17 Time(s)

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
 
 Failed logins from:
   109.185.62.28 (host-static-109-185-62-28.moldtelecom.md): 221 times
   186.83.57.131 (Dynamic-IP-1868357131.cable.net.co): 6 times
   186.84.98.61 (Dynamic-IP-186849861.cable.net.co): 6 times
 
 Illegal users from:
   114.70.60.245: 3 times
   213.186.44.121 (pingserv.com): 14 times

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
 
 **Unmatched Entries**
 reverse mapping checking getaddrinfo for dynamic-ip-1868357131.cable.net.co [186.83.57.131] failed - POSSIBLE BREAK-IN ATTEMPT! : 6 time(s)
 reverse mapping checking getaddrinfo for dynamic-ip-186849861.cable.net.co [186.84.98.61] failed - POSSIBLE BREAK-IN ATTEMPT! : 6 time(s)

Et la bonne nouvelle : )

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
 
Users logging in through sshd:
   lisa:
      82.225.33.10 (vol75-4-82-225-33-10.fbx.proxad.net): 10 times
   root:
      82.225.33.10 (vol75-4-82-225-33-10.fbx.proxad.net): 1 time

matafan · 29/11/2010, 13h20

Oui c'est courant et c'est même systématique. Ce sont soit des personnes qui tentent leur coup sur des machines au hasard (sur une plage d'IPs), soit plus probablement des vers sur des machines infectées.

lisa.a · 29/11/2010, 13h29

ah d'accord ça me rassure

un peu dingue qd meme mais bon

si je change mon port d'écoute ssh ça devrait largement réduire le bruit - ou alors j'ai rien compris à l'intérêt du changement du port d'écoute ?
Sinon si tu as des conseils, ou des liens pour les "méga grands débutants" - tout m'intéresse

je parcours google avec allégresse mais je suis intéressée par des liens "testés et approuvés"

En tout cas merci pour ta réponse
++

matafan · 29/11/2010, 14h11

En tout cas chez moi en bindant ssh à un port quelconque non privilégié ( > 1024), ça élimine toutes ces tentatives de connexion.

lisa.a · 29/11/2010, 14h55

Super c'est ce que j'espérais

je fais ça dès que je rentre à la maison ! merci beaucoup pour l'info
++

29/11/2010, 13h20	#2
matafan Membre Expert Ingénieur développement logiciels Inscription : octobre 2008 Messages : 1 375 Détails du profil Informations personnelles : Sexe : Âge : 33 Localisation : France Informations professionnelles : Activité : Ingénieur développement logiciels Informations forums : Inscription : octobre 2008 Messages : 1 375 Points : 2 034 Points : 2 034	Oui c'est courant et c'est même systématique. Ce sont soit des personnes qui tentent leur coup sur des machines au hasard (sur une plage d'IPs), soit plus probablement des vers sur des machines infectées.
	00

29/11/2010, 13h29	#3
lisa.a Membre à l'essai Inscription : mai 2004 Messages : 90 Détails du profil Informations forums : Inscription : mai 2004 Messages : 90 Points : 20 Points : 20	ah d'accord ça me rassure un peu dingue qd meme mais bon si je change mon port d'écoute ssh ça devrait largement réduire le bruit - ou alors j'ai rien compris à l'intérêt du changement du port d'écoute ? Sinon si tu as des conseils, ou des liens pour les "méga grands débutants" - tout m'intéresse je parcours google avec allégresse mais je suis intéressée par des liens "testés et approuvés" En tout cas merci pour ta réponse ++ __________________ http://www.developpez.net/forums/ima...6&type=profile
	00

29/11/2010, 14h11	#4
matafan Membre Expert Ingénieur développement logiciels Inscription : octobre 2008 Messages : 1 375 Détails du profil Informations personnelles : Sexe : Âge : 33 Localisation : France Informations professionnelles : Activité : Ingénieur développement logiciels Informations forums : Inscription : octobre 2008 Messages : 1 375 Points : 2 034 Points : 2 034	En tout cas chez moi en bindant ssh à un port quelconque non privilégié ( > 1024), ça élimine toutes ces tentatives de connexion.
	00

29/11/2010, 14h55	#5
lisa.a Membre à l'essai Inscription : mai 2004 Messages : 90 Détails du profil Informations forums : Inscription : mai 2004 Messages : 90 Points : 20 Points : 20	Super c'est ce que j'espérais je fais ça dès que je rentre à la maison ! merci beaucoup pour l'info ++ __________________ http://www.developpez.net/forums/ima...6&type=profile
	00

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email