Il y a quelques semaines, j'ai posté une question ici à propos de certains ssh problèmes que j'avais avec une boîte Ubuntu 12.04. Avance rapide jusqu'à aujourd'hui et j'essaie d'autoriser quelqu'un d'autre à accéder à la machine, mais il continue à recevoir des erreurs de mot de passe. Je vérifie var/logs/auth.log pour plus d'informations, et j'ai trouvé ceci :
May 11 19:45:33 myserver sshd[9264]: Did not receive identification string from 211.110.xxx.x
May 11 19:45:38 myserver sshd[9267]: Did not receive identification string from 211.110.xxx.x
May 11 19:45:44 myserver sshd[9270]: Did not receive identification string from 211.110.xxx.x
May 11 19:45:49 myserver sshd[9274]: Did not receive identification string from 211.110.xxx.x
J'ai près de 10 000 lignes qui semblent toutes dire plus ou moins la même chose (il y a aussi 4 fichiers auth.log.gz, qui, je suppose, sont plus ou moins identiques ?). Parfois, un nom d'utilisateur aléatoire est associé à la demande, input_userauth_request: invalid user bash [preauth]
Je ne connais pas grand-chose aux serveurs, mais on dirait que quelqu'un essaie d'accéder au mien.
Google a cherché comment bloquer une adresse IP dans Ubuntu et s'est retrouvé avec ceci :iptables -A INPUT -s 211.110.xxx.x -j DROP , mais après avoir exécuté cette commande et vérifié les journaux, je reçois toujours des requêtes de cette adresse IP toutes les 5 secondes.
Comment puis-je en savoir plus sur ce qui se passe et faire face à ces demandes constantes ?
Réponse acceptée :
D'après ce que vous décrivez, cela ressemble à une attaque automatisée sur votre serveur. La plupart des attaques le sont, à moins que l'agresseur ne vous connaisse personnellement et ne vous en veuille…
Quoi qu'il en soit, vous voudrez peut-être vous pencher sur denyhosts, que vous pouvez obtenir à partir des dépôts habituels. Il peut analyser les tentatives répétées et bloquer leur adresse IP. Vous pouvez toujours obtenir quelque chose dans vos journaux, mais cela aidera au moins à atténuer les problèmes de sécurité.
Quant à obtenir plus d'informations, je ne prendrais vraiment pas la peine. À moins qu'ils ne soient amateurs, ils utiliseront un serveur distant pour faire leur sale boulot, ce qui ne vous dira rien sur qui ils sont vraiment. Votre meilleur pari est de trouver l'administrateur de la plage IP (WHOIS est votre ami ici) et de lui faire savoir que vous obtenez beaucoup de tentatives d'accès à partir de cette adresse IP. Ils peuvent être assez bons pour faire quelque chose à ce sujet.
En relation:Le moyen le plus simple de configurer Ubuntu en tant que serveur VPN dans Ubuntu ?