Brute force SSH

Portus · 06/06/2009, 22h56

Bonsoir,

Notre serveur sous Gentoo subit régulièrement des attaques par brute force ...

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
Jun  6 00:11:01 nsxxx sshd[25520]: Invalid user Chiasa from 216.74.240.242
Jun  6 00:11:04 nsxxx sshd[25600]: Invalid user Chie from 216.74.240.242
Jun  6 00:11:06 nsxxx sshd[25658]: Invalid user Chieko from 216.74.240.242
Jun  6 00:11:08 nsxxx sshd[25697]: Invalid user Chiharu from 216.74.240.242
Jun  6 00:11:11 nsxxx sshd[25741]: Invalid user Chika from 216.74.240.242
Jun  6 00:11:14 nsxxx sshd[25841]: Invalid user Chikako from 216.74.240.242
Jun  6 00:11:17 nsxxx sshd[25909]: Invalid user Haruki from 216.74.240.242
Jun  6 00:11:20 nsxxx sshd[25977]: Invalid user MITSUKO from 216.74.240.242

La liste est longue

Bref, sauriez-vous comment éviter ce genre de choses ?
Merci !

CedrX · 07/06/2009, 01h28

Tu devrais t'intéresser à fail2ban.
Principe résumé:
Bannir une adresse IP pendant 10 minutes après plusieurs essais infructueux de connexion.

lavazavio · 08/06/2009, 00h03

Tu peux déjà commencer par utiliser un port différent du port 22 pour ton serveur SSH (supérieur à 1024).

Qwert · 16/06/2009, 08h57

Citation:

Envoyé par Portus

Bonsoir,

Notre serveur sous Gentoo subit régulièrement des attaques par brute force ...

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
Jun  6 00:11:01 nsxxx sshd[25520]: Invalid user Chiasa from 216.74.240.242
Jun  6 00:11:04 nsxxx sshd[25600]: Invalid user Chie from 216.74.240.242
Jun  6 00:11:06 nsxxx sshd[25658]: Invalid user Chieko from 216.74.240.242
Jun  6 00:11:08 nsxxx sshd[25697]: Invalid user Chiharu from 216.74.240.242
Jun  6 00:11:11 nsxxx sshd[25741]: Invalid user Chika from 216.74.240.242
Jun  6 00:11:14 nsxxx sshd[25841]: Invalid user Chikako from 216.74.240.242
Jun  6 00:11:17 nsxxx sshd[25909]: Invalid user Haruki from 216.74.240.242
Jun  6 00:11:20 nsxxx sshd[25977]: Invalid user MITSUKO from 216.74.240.242

La liste est longue

Bref, sauriez-vous comment éviter ce genre de choses ?
Merci !

1 - vérifier la force de tes mots de passe
2 - changer de port ssh
3 - fail2ban ou si l'attaque ne vient que d'une adresse ip ... la bannir simplement

Vlad59 · 18/06/2009, 10h01

Ou ajouter une règle iptables qui interdit plus de X tentative de connection par minutes pour la même IP (module recent).

08/06/2009, 00h03	#3
lavazavio Rédacteur/Modérateur Inscription : décembre 2004 Messages : 1 630 Détails du profil Informations personnelles : Sexe : Âge : 30 Localisation : France, Rhône (Rhône Alpes) Informations forums : Inscription : décembre 2004 Messages : 1 630 Points : 1 969 Points : 1 969	Tu peux déjà commencer par utiliser un port différent du port 22 pour ton serveur SSH (supérieur à 1024). __________________ Rédacteur et Modérateur rubrique Linux Articles dvp.com Man pages en français
	00

18/06/2009, 10h01	#5
Vlad59 Membre habitué Inscription : juillet 2002 Messages : 90 Détails du profil Informations forums : Inscription : juillet 2002 Messages : 90 Points : 112 Points : 112	Ou ajouter une règle iptables qui interdit plus de X tentative de connection par minutes pour la même IP (module recent). __________________ Mon blog/wiki sur Linux/VMWare/Oracle/Nginx ....
	00

07/06/2009, 01h28	#2
CedrX Rédacteur/Modérateur Inscription : avril 2007 Messages : 1 096 Détails du profil Informations forums : Inscription : avril 2007 Messages : 1 096 Points : 1 252 Points : 1 252	Tu devrais t'intéresser à fail2ban. Principe résumé: Bannir une adresse IP pendant 10 minutes après plusieurs essais infructueux de connexion.
	00

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email