URL: https://linuxfr.org/forums/general-general/posts/nombre-de-connexions-ssh-malveillantes-a-un-serveur Title: Nombre de connexions SSH malveillantes à un serveur Authors: jeanas Date: 2024年05月17日T00:37:57+02:00 License: CC By-SA Tags: intrusion, serveur, fail2ban et ssh Score: 10 Je suis nul en sysadminage (j'ai fait des études de maths et d'info théorique, donc je peux parler de calculabilité pendant des heures, mais on me demandait d'expliquer comment fonctionne TCP et les différences avec UDP, je serais bien embêté). J'administre deux serveurs (pour un forum Discourse, sur https://lilypond.community, mais peu importe). En consultant les logs pour autre chose, je me suis rendu compte qu'ils étaient infestés par des tentatives échouées de connexion en SSH. *Beaucoup.* Je sais bien à quoi sert fail2ban, je m'attendais à ce qu'il y en ait, mais pas autant. J'ai des milliers de lignes comme ça : ``` May 16 22:15:17 ubuntu sshd[26057]: fatal: Timeout before authentication for 79.110.62.145 port 21922 May 16 22:15:09 ubuntu sshd[26044]: fatal: Timeout before authentication for 218.92.0.56 port 47560 May 16 22:14:09 ubuntu sshd[26151]: Connection closed by invalid user ftpuser 64.227.153.88 port 54364 [preauth] May 16 22:14:09 ubuntu sshd[26151]: Failed password for invalid user ftpuser from 64.227.153.88 port 54364 ssh2 May 16 22:14:07 ubuntu sshd[26151]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=64.227.153.88 May 16 22:14:07 ubuntu sshd[26151]: pam_unix(sshd:auth): check pass; user unknown May 16 22:14:07 ubuntu sshd[26151]: Invalid user ftpuser from 64.227.153.88 port 54364 May 16 22:13:29 ubuntu sshd[26057]: Failed password for invalid user admin from 79.110.62.145 port 21922 ssh2 ``` Quelques stats : ``` $ journalctl --since "100 days ago" | rg -o 'pam_unix\(sshd:auth\): authentication failure; .* rhost=([^ ]+)' -r '1ドル'> ips.txt $ # ips.txt est la liste des IPs sur les lignes pam_unix(sshd:auth) $ head -5 ips.txt 85.9.100.253 104.250.50.63 47.184.120.85 182.156.254.122 60.108.212.174 $ wc -l ips.txt 145618 ips.txt $ sort ips.txt | uniq | wc -l 7084 ``` Sur 100 jours, j'ai donc eu presque 150 000 tentatives de connexion SSH, soit environ *une tentative par minute*, le tout depuis 7000 IPs différentes. Sur l'autre serveur, c'est encore pire (celui-ci est un serveur mail) : ``` $ journalctl --since "100 days ago" | rg -o 'pam_unix\(sshd:auth\): authentication failure; .* rhost=([^ ]+)' -r '1ドル'> ips.txt $ head -5 ips.txt 83.229.83.76 218.92.0.39 218.92.0.39 218.92.0.39 13.70.39.68 $ wc -l ips.txt 245861 ips.txt $ sort ips.txt | uniq | wc -l 8738 ``` soit environ 1,7 connexion par minute, le tout depuis 9000 IPs différentes. Est-ce que c'est normal d'avoir autant de pirates / botnets / que-sais-je qui font des attaques par force brute ? Notez que fail2ban est activé sur ces deux serveurs, et j'ai vérifié qu'il fonctionnait bien, je n'ose pas imaginer ce que ce serait sans. Est-ce que ça vaut le coup de carrément restreindre l'accès à des clés SSH données (moi et les autres admins) et refuser les connexions par mot de passe, ou bien est-ce que la pollution des logs ne vous dérange pas vraiment ?

AltStyle によって変換されたページ (->オリジナル) /