Hello,  
 
Que pourrais je faire pour me protéger de ce genre de tentatives :  
Dec 21 21:18:08 share2 sshd(pam_unix)[15469]: authentication failure; logname= uid=0 euid=0 tty=NODEVssh ruser= rhost=host194-121.pool82186.interbusiness.it  user=root
Dec 21 21:18:08 share2 sshd(pam_unix)[15470]: authentication failure; logname= uid=0 euid=0 tty=NODEVssh ruser= rhost=host194-121.pool82186.interbusiness.it  user=root
Dec 21 21:18:12 share2 sshd(pam_unix)[15473]: authentication failure; logname= uid=0 euid=0 tty=NODEVssh ruser= rhost=host194-121.pool82186.interbusiness.it  user=root
Dec 21 21:18:12 share2 sshd(pam_unix)[15474]: authentication failure; logname= uid=0 euid=0 tty=NODEVssh ruser= rhost=host194-121.pool82186.interbusiness.it  user=root
Dec 21 21:18:17 share2 sshd(pam_unix)[15477]: authentication failure; logname= uid=0 euid=0 tty=NODEVssh ruser= rhost=host194-121.pool82186.interbusiness.it  user=root
Dec 21 21:18:17 share2 sshd(pam_unix)[15478]: authentication failure; logname= uid=0 euid=0 tty=NODEVssh ruser= rhost=host194-121.pool82186.interbusiness.it  user=root
Dec 21 21:18:21 share2 sshd(pam_unix)[15481]: authentication failure; logname= uid=0 euid=0 tty=NODEVssh ruser= rhost=host194-121.pool82186.interbusiness.it  user=root
Dec 21 21:18:21 share2 sshd(pam_unix)[15482]: authentication failure; logname= uid=0 euid=0 tty=NODEVssh ruser= rhost=host194-121.pool82186.interbusiness.it  user=root
Dec 21 21:18:25 share2 sshd(pam_unix)[15493]: authentication failure; logname= uid=0 euid=0 tty=NODEVssh ruser= rhost=host194-121.pool82186.interbusiness.it  user=root
Dec 21 21:18:26 share2 sshd(pam_unix)[15494]: authentication failure; logname= uid=0 euid=0 tty=NODEVssh ruser= rhost=host194-121.pool82186.interbusiness.it  user=root
Dec 21 21:18:29 share2 sshd(pam_unix)[15506]: authentication failure; logname= uid=0 euid=0 tty=NODEVssh ruser= rhost=host194-121.pool82186.interbusiness.it  user=root
Dec 21 21:18:30 share2 sshd(pam_unix)[15508]: authentication failure; logname= uid=0 euid=0 tty=NODEVssh ruser= rhost=host194-121.pool82186.interbusiness.it  user=root
Dec 21 21:18:34 share2 sshd(pam_unix)[15511]: authentication failure; logname= uid=0 euid=0 tty=NODEVssh ruser= rhost=host194-121.pool82186.interbusiness.it  user=root
Dec 21 21:18:34 share2 sshd(pam_unix)[15513]: authentication failure; logname= uid=0 euid=0 tty=NODEVssh ruser= rhost=host194-121.pool82186.interbusiness.it  user=root
Dec 21 21:18:37 share2 sshd(pam_unix)[15515]: authentication failure; logname= uid=0 euid=0 tty=NODEVssh ruser= rhost=host194-121.pool82186.interbusiness.it  user=root
Dec 21 21:18:38 share2 sshd(pam_unix)[15517]: authentication failure; logname= uid=0 euid=0 tty=NODEVssh ruser= rhost=host194-121.pool82186.interbusiness.it  user=root
Dec 21 21:18:42 share2 sshd(pam_unix)[15519]: authentication failure; logname= uid=0 euid=0 tty=NODEVssh ruser= rhost=host194-121.pool82186.interbusiness.it  user=root
Dec 21 21:18:42 share2 sshd(pam_unix)[15521]: authentication failure; logname= uid=0 euid=0 tty=NODEVssh ruser= rhost=host194-121.pool82186.interbusiness.it  user=root
Dec 21 21:18:46 share2 sshd(pam_unix)[15523]: authentication failure; logname= uid=0 euid=0 tty=NODEVssh ruser= rhost=host194-121.pool82186.interbusiness.it  user=root
Dec 21 21:18:46 share2 sshd(pam_unix)[15525]: authentication failure; logname= uid=0 euid=0 tty=NODEVssh ruser= rhost=host194-121.pool82186.interbusiness.it  user=root
 
 
(il y en a plus de 200 comme ça par jour)
 
J'ai pensé à :  
-changer le port de ssh sur un autre port mais il vont le decouvrir avec un scan tout bête non ?
-empècher root comme utilisateur mais ils vont essayer trnete six usernames différents non ?
 
N'est il pas possible de configurer sshd pour blacklister une ip après xx tentatives infructueuses ?
 
merci pour toute aide..

tu mets PermitRootLogin à no dans ton sshd_config
 
edit: merde ...  

virer le root c'est la moindre des choses. Après tu peux mettre le port vers quelque chose de plus haut (dans 5000 par exemples)
 
 
normalement en cas d'échec de login, le temps d'attente est exponentiel. ça n'a pas l'air d'être le cas, vérifie ton pramètrage
 
 
et surtout, quand t'as un con comme ça, tu ripostes, tu sors nmap, hping2, xprobe, nessus et tu l'allumes comme un abre de noel celui là

virer le login root ça semble la moindre des choses effectivement, sinon je me souviens pas que ça le pousse pour autant à chercher d'autres comptes derrière.
 
Sinon bah juste : iptables -I INPUT -s host194-121.pool82186.interbusiness.it -j DROP
 
là t'es tranquille...
 
 
Taz : oui t'es super intelligent toi, comme ça le jour où c'est une box hackée sur un gros tuyau, tu t'en prends encore plus en retour... A ce jeu là faut être sûr d'avoir la plus grosse ( et encore ), sinon c'est la spirale et ça fait mal...

 
Oui c'est illégal, m'enfin c'est encore un peu le western Internet des fois, pas évident de faire appliquer la loi entre 2 pays
 
Sinon abuse effectivement est la meilleure solution, si ça ne répond pas, un whois sur l'IP et envoi d'un mail à l'adresse mail du responsable du block IP ( en croisant les doigts poru qu'il soit sérieux... )
 
P.S. : En fait quand je disais "encore plus en retour", je pensais aussi  à l'aspect juridique

En plus d'être illégal, répondre à ce genre d'attaques est aussi très con. Qui te dit que le propriétaire de la machine est responsable ? Ca pourrait venir d'un ver, ou sa machine est peut-être un zombie...
 
Si ça te gène, ferme tes ports pour les hotes inconnus, envoie un mail a abuse si tu veux (ça n'aura probablement aucun effet, d'autant qu'il n'y a pas eu intrusion).
 
Cela dit je ne vois pas vraiment le problème. Tu as un mot de passe aléatoire ? Il n'arrivera donc jamais à se connecter. Et si c'est effectivement un gars qui s'amuse a faire ça, il se lassera.

 
Complétement du même avis

 
 
ca, c'est vraiment du conseil de merde.
 
Pour le truc du temps d'attente qui s'allonge, c'est la directive MaxStartups
 

 
Le mieux reste quand même de permettre de se loguer uniquement avec une clé, comme ca quiquonque n'a pas la clé ne peut tenter de se logguer.

Hello, merci pour les réponses
 
j'ai déjà essayé les abuse@ masi jamais eu de réponses, en outre, les tentaives arrivent de plusieurs hostname différents, (environ 4 différents avec une centaine de tentative chacun chaque nuit, ça devient quand meme lourd)
donc a mon avis l'ip de la machine doit etre tombée dans un grouep de hackers et ils m'en veulent..
 
j'ai empèché le login de root et la nuit a été très calme, merci pour la directive MaxStatups, je cherchais après un truc de ce genre.  
 
Par contre je suis surpris de ne pas avoir encore trouvé de solution toute faite et largement utilisée qui blackliste pour 6h l'addresse qui fait plus de 10 tentatives infructueuses en 2 minutes.
 
J'ai pensé a ajouter des DROP sur l'ip dans le firewall mais au rythme ou ça avance deans 2 mois g blacklisté la moitié de la planète..
Enfin, là, ça a l'air résolu et ils ont pas essayé tous les users existant par défaut, sans doute qu'ils chechent des machines ou ils ont le root pour lancer d'autres attaques.
 

la moitié de la planète t'en veux ? ouah

 
sisi, ca existe des trucs du genre, faut juste lire la doc :
 
MaxAuthTries
             Specifies the maximum number of authentication attempts permitted
             per connection.  Once the number of failures reaches half this
             value, additional failures are logged.  The default is 6.

 
Après les blacklists ca doit être pas trop dur à faire, avec un script qui parse les logs et invoque iptables.
 
mais bon, c'est pas top.
 
Le mieux reste de changer le port par défaut d'sshd, vu que c'est souvent des outils de script kiddies, qui cherchent la facilité

pas tellement que ça : un mec qui t'arrose en boucle avec la même ip ... c'est un blaireau

 
Rassure moi, t'as pas lu tout là ?

c'est pas une réplique, c'est une communication serveur -> client

 
Ca dépend grandement du FAI, du pays et de l'humeur du capitaine...
 
Même en France j'ai vu des FAI ne pas répondre à des abuse@fai sur des cas pourtant non négligeables.

j'ai un envoi régulier de virus par un abonné wanadoo et abuse n'a rien fait. Je sens que je vais faire passer ça par les voies internes.

moi aussi j'ai pleins de tests avec root et d'autres users
 
m'enfin bon avant qu'ils rentrent, les poules auront des dents (root interdit et login par mdp interdit aussi )

 
 
bah, une faille dans ssh et hop DTC  

oui mais ça c'est valable pour tout service

 
 
tu risque donc d'avoir donc un rootkit avant que les poules aient des dents  

Ca peut arriver a tout le monde un rootkit hein

 
c'est quand même ballot

c'est arrivé à jowile

 
je le sais  

ah ok

 
finalement tu es le multi de qui ?

de littleboboy ?
(ah non déja faite celle ci )

Perso, j'avais pensé a un truc du genre (dans le script de démarrage iptables) :
iptables -A INPUT -p tcp -dport ssh -m state --state NEW -m limit --limit 1/m -j ACCEPT
Histoire de limiter les tentatives de connexion ssh à 1 par minute
 
mais le probleme c'est qu'on s'expose très très rapidement a un DOS. le top serait de pouvoir utiliser le --limit par IP, mais ça je ne sais pas si c'est possible ?
 
PS : MaxAuthTries s'applique à 1 connexion, donc il suffit que le gars ouvre une nouvelle connexion après ses 3 éssais et il n'est plus soumis à cette limite.

MaxAuthTries ca sert à rien, MaxStartups c'est drolement utile, et no root c'est tellement trivial que on ne le dis meme plus ... sinon il faut installer chrootkit, ca permet de verifier que ya aucun rootkit installé ... à faire
modifier le port du ssh c'est con je trouve ... 60.000 ports c'est vite scanné
A++

y a aussi le knock port je sais plus quoi

euh, autant pour moi, c'est chkrootkit et non chrootkit
ca scan des tonnes de trucs, genre etc/passwd & co ::
 
A+
 
...
Checking `ifconfig'... not infected
Checking `inetd'... not infected
Checking `inetdconf'... not infected
Checking `init'... not infected
Checking `killall'... not infected
Checking `ldsopreload'... not infected
Checking `login'... not infected
Checking `ls'... not infected
Checking `lsof'... not infected
Checking `mail'... not infected
Checking `netstat'... not infected
Checking `passwd'... not infected
Checking `pidof'... not infected
Checking `ps'... not infected
Checking `pstree'... not infected
Checking `rpcinfo'... not infected
Checking `slogin'... not infected
...

 
On le lance comment ?
Il est pas /usr/bin ...

perso chez moi juste chkrootkit et c'est bon ^^

je vois pas trop le rapport entre chkrootkit (qui detecte les rootkits) et le brutforce sshd.
 
Mais puisqu'on en parle, n'oublions pas que chkrootkit se base sur les utilitaires systeme (ls, file etc...) qui ont, la pluspart du temps été modifié par le rootkit en question -> chkrootkit = a utiliser gravé sur un cd avec tous les utilitaire dont il a besoin

 
 
sachant que la plupart des ces "attaques" sont l'oeuvre de scripts/programmes tout fait, je doute que le type prenne la peine de scanner l'ensemble des ports sur l'ensemble des ip qu'il scanne    
 
Donc contre ce genre de truc automatisé, si, c'est efficace.

 
Intéressant comme politique de sécurité : je protège pas, je regarde plutôt si le mal est déjà fait    
 
Sachant qu'un fois qu'un rootkit est suspecté, l'ensemble de la machine est considéré comme foutu, voir même le réseau derrière s'il n'est pas protégé "j'ai un firewall, je crains rien"
 
De plus, tu utilise le chkrootkit qui est sur la machine ?  
 
Qui te dit qu'il n'a pas été modifié pour ne pas détecter le rootkit qui vient d'être installé ?    
 
bref, utilisation potentiellement inutile et moisie de cet outil, qui ne fait que confirmer un désastre

 
 
Dis-le aux dev d'openssh, les pauvres, ils se font chier à maintenir un truc inutile  

oue bon en même temps sur nos pitites becannes ADSL on risque pas grand chose

 
 
Bah, le Kevin qui s'amuse à scanner des plages d'ip avec son ToOlZ, que ca soit une LS ou une ADSL, il a la gaule pareil,il a HaCkE une machine, phEaR !!