Tentatives d'intrusion répétée via SSH ??! - Sécurité - Réseaux grand public / SoHo
Marsh Posté le 28-08-2008 à 14:57:25
philanselmo a écrit : x, je tombe sur cette page http://201.67.77.232/nanoweb.html !!!! |
Je ne sais pas si ça va faire quelque chose mais tu peux envoyer un mail de plainte à
abuse@noc.brasiltelecom.net.br
# whois 201.67.77.232
[Requête en cours whois.lacnic.net]
[Redirigé vers whois.registro.br]
[Requête en cours whois.registro.br]
[whois.registro.br]
% Copyright (c) Nic.br
% The use of the data below is only permitted as described in
% full by the terms of use (http://registro.br/termo/en.html),
% being prohibited its distribution, comercialization or
% reproduction, in particular, to use it for advertising or
% any similar purpose.
% 2008-08-28 09:54:26 (BRT -03:00)
inetnum: 201.66/15
aut-num: AS8167
abuse-c: BTA17
owner: Brasil Telecom S/A - Filial Distrito Federal
ownerid: 076.535.764/0326-90
responsible: Brasil Telecom S. A. - CNRS
owner-c: BTC14
tech-c: BTC14
inetrev: 201.67.77/24
nserver: ns03-cta.brasiltelecom.net.br
nsstat: 20080826 AA
nslastaa: 20080826
nserver: ns04-bsa.brasiltelecom.net.br
nsstat: 20080826 AA
nslastaa: 20080826
created: 20060130
changed: 20060130
nic-hdl-br: BTA17
person: Brasil Telecom S. A - Abuso
e-mail: abuse@noc.brasiltelecom.net.br
created: 20030624
changed: 20050214
nic-hdl-br: BTC14
person: Brasil Telecom S. A. - CNRS
e-mail: suporte@noc.brasiltelecom.net.br
created: 20031003
changed: 20080229
% Security and mail abuse issues should also be addressed to
% cert.br, http://www.cert.br/, respectivelly to cert@cert.br
% and mail-abuse@cert.br
%
% whois.registro.br accepts only direct match queries. Types
% of queries are: domain (.br), ticket, provider, ID, CIDR
% block, IP and ASN.
Marsh Posté le 30-08-2008 à 14:47:18
tu n'as pas de fonction pour bloquer des ip/pool d'ip sur ton routeur ? si oui, tu le bloque et comme ça tu garde tes accès distant via ssh
Marsh Posté le 01-10-2008 à 20:49:31
Si ton entrée sur ton serveur SSH est verrouillé par un mot de passe correct (suite aléatoire de lettres et de chiffres, exemple: Dkfi5eocè), alors laisse ce trouduc' se fatiguer pour rien; au moins, pendant ce temps, il fout la paix aux autres...
Marsh Posté le 02-10-2008 à 09:43:37
Comme l indique tom1985 si ton mot de passe est correcte du n aura jamais de probleme. Meme si tu bloque cette ip tu aura d autre attack voir si il passe par un proxy ca ne sert a rien
Ayant moi meme un serveur j ai des centaines, milliers d attaque par jour j ai des jours ou toutes les 10 secondes j ai une demande en SSH mais mon mot de passe tiens pour le moment
Marsh Posté le 02-10-2008 à 10:43:21
Salut,
1) interdire l'accès SSH à root
2) installer fail2ban si tu peux, il interdira à l'IP de se connecter au bout de X tentatives de connections
3)Changer le port d'écoute ssh ( le mettre en 23 au lieu de 22 par exemple)
Marsh Posté le 02-10-2008 à 12:06:17
ReplyMarsh Posté le 02-10-2008 à 12:14:07
ReplyMarsh Posté le 04-10-2008 à 05:29:48
Nirzil a écrit : je plussoie |
Effectivement, jolis scripts sur ces pages
Marsh Posté le 19-08-2008 à 21:42:04
Bonsoir à tous,
Je possède un NAS Qnap TS109 II que j'utilise en sftp pour faire du partage avec un ordinateur distant.
Dans je journal de connexion de mon NAS, toutes les 10sec une tentative de connexion SSH à lieu : le nom d'utilisateur change à chaque fois (alexandra, bobby, brandon, admin etc etc TOUT Y PASSE!!) mais l'adresse IP reste la même. Et lorsque j'utilise cette adresse IP dans Firefox, je tombe sur cette page http://201.67.77.232/nanoweb.html !!!!
Est-ce un pirate ? Comment puis-je sécuriser mon SSH ?
J'avoue être un peu flippé