Bonjour à tous,

Dans mon /var/log/auth.log il y figure des tentatives de connection en ssh avec des users du genre :
admin
MAIL
WP
user
storwatch
none
mobile
pi
...

le tout sur un intervalle de 15 minutes

Mon service ssh tourne sur le port 2222

L'adresse IP à l'origine de ces requetes est aussi hébergé chez OVH (whois)

Je ne sais pas trop quoi en penser ?

est-ce un script qui tourne en boucle et essaie de prendre le contrôle de la machine à distance en exécutant des couples user/pwd communs ?

admettons qu'il arrive à se logger sur ma machine, j'imagine que je serai ensuite moi même à l'origine de requêtes similaires (installation d'un bot) ?

Faut-il que je signale l'adresse IP ?

Comment se prémunir de ce genre d'attaques ?

Salut,

Installe fail2ban paramétré pour le port 222, ça bannira automatiquement les IPs récidivistes.
Mets en place une authentification SSH uniquement par paire de clés (mots de passe désactivés), ou, à défaut (mais c'est quand même important de le faire par clés), désactive le login root.
Installe et paramètre aussi un pare-feu, genre ufw ou iptables, pour rejeter tout traffic autre que les ports que tu utilises.

Sinon, c'est normal, bienvenue sur Internet. Des bots arpentent en permanence les IPs de serveurs accessibles pour tester les vulnérabilités connues ou spammer des identifiants de connexion, tu peux pas vraiment les empêcher. Par contre avec les opérations ci-haut, tu peux les empêcher de faire quoi que ce soit.

Merci à toi,

voilà de quoi occuper ma soirée

Si l'adresse IP d'origine vient d'OVH il faut le leur signaler, ils devraient alerter le propriétaire de l'infection possible de son système en question si ce n'est pas délibéré ?

Je crois d'ailleurs que si rien n'est fait ils procèdent à la remise à zéro sans son consentement ?

ou ils bloquent d'abord le port incriminé pendant une certaine période qui augmentera si récidive

installer fail2ban c'est l'oeuvre des hackers chinois qui font tourner des scripts a l'échelle mondiale

En même temps, comme l'expliquait Godrik, ils feront tourner des IPs de machines différentes pour contourner fail2ban. C'est toujours mieux que rien, mais ça ne prémunit pas tant que ça.

Pour ça qu'il faut ajouter une connexion par clés et désactiver la connexion par mots de passe.

J'ai installer fail2ban, out of the box il fonctionne déjà très bien

Maintenant pour ce qui est de l'authentification par paire de clés ça me semble assez contraignant dans la mesure où, pour autoriser un nouveau client il faut avoir accès au serveur ?

Si je suis en vacances, que je n'ai pas de poste enregistré par le serveur, je ne peux pas me connecter, c'est bien ça ?

Et si qqun copie mes clées publique/privée car accès local direct à la machine ? (ordi pro)

Dans mon /var/log/auth.log il y figure des tentatives de connection en ssh avec des users du genre :
admin
MAIL
WP
user
storwatch
none
mobile
pi

Tiens le Raspberry Pi s'est tellement vendu que maintenant, les bots tentent de se connecter avec "pi"

Si je suis en vacances, que je n'ai pas de poste enregistré par le serveur, je ne peux pas me connecter, c'est bien ça ?

Si, il faut juste partir avec ta paire de clés SSH pour te connecter depuis n'importe quel PC à ton serveur.

Et si qqun copie mes clées publique/privée car accès local direct à la machine ? (ordi pro)

Si tu n'as pas de passphrase sur ta clé privée, alors n'importe qui qui copie tes clés pourra se connecter. Mais dans ce contexte là, tu mets absolument une passphrase sur ta clé pour empêcher quiconque de pouvoir en tirer quelque chose sans connaître la passphrase. Et pas besoin de copier la clé SSH sur la machine non plus, tu peux la laisser sur une clé USB ou autre périphérique externe (mais ça ne te dispense pas d'y mettre une passphrase).

Bon quand tu te fais piquer tes clés pour une raison X ou Y, la passphrase te protège tes clés certes.

Mais il faut quand même révoquer les clés dans la config de sshd et en régénérer une nouvelle paire.

Mais il faut quand même révoquer les clés dans la config de sshd et en régénérer une nouvelle paire.

Ça c'est quand tu sais que tu t'es fait piquer tes clés. Si tu les mets innocemment sur le HDD de l'ordi du boulot plutôt que sur une clé USB par exemple… c'est pas si évident de savoir.

Après faut voir, comme toujours, le modèle de menace, si c'est pour se protéger de ses collègues sur un PC du boulot, à moins d'être la cible d'une agence gouvernementale y'a peu de chances qu'un attaquant potentiel ait la puissance de calcul nécessaire pour bruteforcer ta passphrase (en partant du principe qu'elle est un minimum robuste, mais c'est aussi pour ça que ça s'appelle passphrase et pas password).

fail2ban + portsenstry tu dégage 99,9% des bots et scriptkidies