Apparemment, il est entré en SSH en tant que root.
Alors pour la prochaine machine, deux conseils:
N'accepter que les clés, aucun mot de passe, en SSH. "PasswordAuthentication no" dans /etc/ssh/sshd_config (et générer/mettre en place les clés)
et/ou
Ne pas laisser entrer l'utilisateur toot en SSH. "PermitRootLogin no"
Avec ça, à la prochaine attaque, tu auras juste ça:
Jul 8 15:47:54 lot sshd[30691]: Connection closed by 1.2.3.4 [preauth]
ou ça
Jul 8 15:44:56 lot sshd[30544]: ROOT LOGIN REFUSED FROM 1.2.3.4
Et tu pourras esquisser un sourire en terminant ton café/coca/thé vert :)
La gelée de coings est une chose à ne pas avaler de travers.
# Accès SSH
Posté par Lol Zimmerli (site web personnel, Mastodon) . En réponse au message Machine compromise.. Évalué à 10.
Apparemment, il est entré en SSH en tant que root.
Alors pour la prochaine machine, deux conseils:
N'accepter que les clés, aucun mot de passe, en SSH. "PasswordAuthentication no" dans /etc/ssh/sshd_config (et générer/mettre en place les clés)
et/ou
Ne pas laisser entrer l'utilisateur toot en SSH. "PermitRootLogin no"
Avec ça, à la prochaine attaque, tu auras juste ça:
Jul 8 15:47:54 lot sshd[30691]: Connection closed by 1.2.3.4 [preauth]
ou ça
Jul 8 15:44:56 lot sshd[30544]: ROOT LOGIN REFUSED FROM 1.2.3.4
Et tu pourras esquisser un sourire en terminant ton café/coca/thé vert :)
La gelée de coings est une chose à ne pas avaler de travers.