Re: attaque force brute SSH

Page principale

Répondre à ce message
Auteur: Nicolas KOWALSKI
Date:  
À: guilde
Sujet: Re: attaque force brute SSH
On Fri, 24 Feb 2006, Jerome KIEFFER wrote:

> Salut,


Bonjour,

> Depuis quelque temps, j'ai une machine qui est attaquée
> systematiquement par SSH. J'ai noté des centaines de tentatives de
> connexions avec differents login (aucun n'existait). La machine etant
> en IP dynamique, j'ai changé d'IP pour calmer la chose mais bon ...
> Existe il un moyen de dire a sshd de ne plus répondre a l'assaillant ?
> (une solution alternative a un analyseur de logs + firewall dynamique)


Au boulot, nous utilisons iptables pour bloquer les connexions trop
fréquentes (5/min) provenant de la même machine, avec ces deux règles:

iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --set \
--name SSH

iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --update \
    --seconds 60 --hitcount 5 --rttl --name SSH -j DROP


Avec ça, le nombre de tentatives est tombé de manière drastique. Ça
bloque les attaques de dictionnaire en tout cas.

--
Nicolas