Bonjour
 
Avez vous remarqué depuis quelques temps de plus en plus de tentatives de login (test, guest, root....) ?
 
Savez vous d'ou ça vient?
 
worm/script kiddie?
 
Merci

+1 j'ai repéré qques tentatives dans les logs sur mon serveur... y'en a pas bcp, mais j'avais jamais remarqué auparavant

apparamment c un worm ki essaye des comptes.....
 
y'a de plus en plus de machines infectées

changez le port ssh par défaut, ça aide

En même temps si les pass sont pas "toto" ou "tutrouveraspas", ça va quoi, c'est pas la mort

comme vous voulez....

j'ai changé le port par défaut + interdit le login root

claquer le PermitRootLogin à "no", mettre uniquement les users qui ont un compte ssh dans la config sshd, déjà ça limite les risques, ensuite à moins d'une faille de secu avec un SSHd pas à jour ou d'un pass à la con sur un login à la con, le risque est relativement limité quand même.
 
Le problème c'est pas d'avoir plein de gens qui tentent, le problème c'est quand il est possible d'y arriver

c aussi un probleme d'avoir des gens qui tentent
 
ils tentent, ils tent, et.......un jour peut etre qu'ils réussiront :$

Tu oblige l'utilisation des paires de clés et le problèmes et réglé.

 
à ce moment là autant ne pas mettre du tout ssh
 
Moi personnellement j'ai bien plus confiance en sshd avec les précautions d'usage qu'en d'autres daemons...

Si on a sshd à jour, c'est quand même sûr.
 
Apparemment c'est un ver qui cherche des versions de sshd vulnérables.

ça c'est moins sûr, j'ai déjà été ciblé pendant un bon mois par plusieurs ip, je me suis bien maré

t un grand haxor qui roxor toi

non pas du tout, j'avais renommé tous les ports, en intervertissant à chaque fois les requètes (symétriquement)
j'avais bidouillé TRES légérement le serveur SSH.
En il s'agissait d'un pari avec quelques amis...

 
t'as corrigé une faute d'orthographe dans les commentaires ?

il a fait de l'interversion symetrique de requetes, ouaou, c un hacker lui

 
vla un site pour toi => http://membres.lycos.fr/azerty0/

j'apprecie le geste. tu dois faire légérement erreur cependant...

si tu nous faisait part de tes modifications ? ca nous permetrait de nous coucher moins cons ce soir

le principe consiste à nommer deux fois chaque port.
- donner un mauvais numéro de port à chaque port pour tout le monde
- donner les bons numéros pour que les ip déclarées par un système de clé.
Faire que le démon du firewall modifie le noms des ports en fonctions des ip.  
 
Bien sûr par ailleurs il vaut mieux supprimer root et tout les autres précautions habituelles.
 
Mais attention, le but en renomant les ports est de brouiller les pistes, mais il ne faut pas renomer de manière aléatoire, cela reviendrait quasiment à désactiver le serveur. Il faut faire du symétrique.  
Pour plus de détail consulter le site http://librelinux.free.fr. très bien fait dailleurs

on peut voir les sources? :$

évidemment, on les verra jamais....

heu ca resemble au "knock je sais plus koi" son histoire
en gros, c est un iptables modifié qui n ouvre les ports que si le client knock a la porte de la bonne facon
 
j en sais pas plus j ai pas lu plus de trucs dessus

oue enfin ca y ressemble un peu, de loin

oue

L'affaire de LLiewisH Track sent le mytho qd meme

le temps de nous pondre un bout de c++ genre

bon, après renseignement je retire ce que j'ai dit plus haut, il paraît que ça ne marche pas du tout ou plus du tout.
D'après ce que j'ai cru comprendre, la moindre modif bousille tout.  
Désolé d'avoir pollué

bon je viens de lire tous vos messages:
ça m'étonne beaucoup qu'on doute de cette technique.
 
Les sources je n'en ai aucune sous la main déjà parce que je bosse sous windows et de plus parce que je ne me sers pas d'un serveur ssh.
 
Maintenant Nelyot Tchagui il faut faire la différence entre "ça ne marche pas" et "ça ne marche plus parce que j'ai fait une connerie" (je ne connais pas précisémment "l'assoce" dont tu parles).
 
Evidemment cette technique est un peu grossière et il faut savoir ce qu'on fait si on veut faire des retouches ou des MAJ.
 

 
tu disais aussi
 

 
 
dons t'avais modifié sshd ou pas?
tu te sers pas d'un serveur ssh?
 
c pas incohérent ça?

C'est pas parcequ'il l'a modifié qu'il s'en sert

 
Moi j'aurais plutôt dit que c'est parce qu'il l'a modifié qu'il ne s'en sert plus ( nuance )

moi je dis "Mytho Detected"

non je pense pas que ce soit mytho puisque je connais des gens qui l'ont testé. Maintenant ça veut pas dire que cette technique est bonne ou mauvaise.
Apparemment, ça marchait au début et puis après ça marchait plus;

il dit qu'il a "modifié ssh" et apres il dit qu'il se sert pas  de ssh. Trouvez l'erreur.....
 
 
L'homme qui a vu l'homme qui a vu l'ours qui a donné une claque au chien qui a mordu le facteur....

c est pas dit non plus que c est lui qui a codé le truc
parce que bon l excuse : j ai pas les src car je suis sous win

peut être qu'il se servait de ssh et qu'il ne s'en sert plus (soit dit en passant je ne sais pas vraiment ce qu'est un serveur ssh donc moi, ce que j'en dis...)