[technique] Votre avis nous intéresse !

[Cyprien Nicolas]

On Tue, Feb 12, 2013 at 09:31:47AM +0100, morksvard wrote:
> Salut à tous,
>
> Suite au hack d'une de mes machines maison la semaine dernière, je
> fais tourner une partie des logs bizarres concernant openssh en
> pièce jointe, exemple:
>
> Feb 1 13:48:35 Z-saloon sshd[2686]: Bad protocol version identification ',\272~\256\365\366\277\261Z\300\024\v<6_\320{\303G\2249B\321\231\277\373\303\240\272*\340\025\215p\0315\336\331\275\314\023\272\241`\267\231\325\212\233\306\b\024!\225\340\237\222\020\215\v0\234S\245\315W\200\214\314\222\002\356\342\226n\373N\303KtO\223\307q\037,\254\351)\362\252\332(\255\310\375]\232\376\037' from 77.206.188.135

C'est pas un log bizarre, un log normal d'une machine victimes de bots
qui essaient de rentrer. J'obtiens un message similaire sur mon sshd
en faisant un simple :

  $ nc domaine.tld 22 </dev/random

Le premier message SSH d'un client vers un serveur contient les
versions qu'il supporte afin de se mettre d'accord avec le serveur
avant de passer à l'authentification, donc le serveur cherche à
trouver un numéro de version du protocole SSH, mais échoue vu que les
données n'en sont pas.

> Pour info je ne me connectais a ssh sur cette machine que via les
> réseaux locaux 10.42.43.0 (local) et 10.8.7.0 (openvpn).

Alors ça sert à rien de la mettre en écoute sur autre chose que ses
réseaux là et de la mettre visible sur le grand n'internet, surtout
sur le port 22 :)

-- 
Cyprien/Fulax
-------------- section suivante --------------
Une pièce jointe autre que texte a été nettoyée...
Nom: signature.asc
Type: application/pgp-signature
Taille: 490 octets
Desc: Digital signature
URL: <http://lists.tetaneutral.net/pipermail/technique/attachments/20130212/e8447c7a/attachment.sig>