Avertissements, échecs d'authentification, fail2ban

Support
1

Bonjour à tous,

Sur mon système fraîchement installé, je n’ai pour l’instant quasiment rien installé (AdGuard et SnappyMail), mais j’ai déjà reçu deux emails de rapport du diagnostic m’indiquant:

Système de base (basesystem)
=================================

[WARNING] Il y a eu récemment un grand nombre d'échecs d'authentification. Assurez-vous que Fail2Ban est en cours d'exécution et est correctement configuré, ou utilisez un port personnalisé pour SSH comme expliqué dans https://yunohost.org/security.

En allant consulter les logs de Fail2ban, je vois des tas de messages. Extrait:

2022-12-09 12:18:16,137 fail2ban.filter         [460]: INFO    [pam-generic] Found 182.74.47.252 - 2022-12-09 12:18:16
2022-12-09 12:18:17,873 fail2ban.filter         [460]: INFO    [sshd] Found 182.74.47.252 - 2022-12-09 12:18:17
2022-12-09 12:18:42,628 fail2ban.filter         [460]: INFO    [pam-generic] Found 103.187.117.53 - 2022-12-09 12:18:42
2022-12-09 12:18:44,600 fail2ban.filter         [460]: INFO    [sshd] Found 103.187.117.53 - 2022-12-09 12:18:44
2022-12-09 12:19:07,663 fail2ban.filter         [460]: INFO    [sshd] Found 103.255.216.43 - 2022-12-09 12:19:07
2022-12-09 12:19:07,664 fail2ban.filter         [460]: INFO    [pam-generic] Found 103.255.216.43 - 2022-12-09 12:19:07
2022-12-09 12:19:10,369 fail2ban.filter         [460]: INFO    [sshd] Found 103.255.216.43 - 2022-12-09 12:19:10
2022-12-09 12:20:58,933 fail2ban.filter         [460]: INFO    [pam-generic] Found 152.89.196.123 - 2022-12-09 12:20:58
2022-12-09 12:21:01,638 fail2ban.filter         [460]: INFO    [sshd] Found 152.89.196.123 - 2022-12-09 12:21:01
2022-12-09 12:22:26,668 fail2ban.filter         [460]: INFO    [pam-generic] Found 185.81.68.191 - 2022-12-09 12:22:26
2022-12-09 12:22:28,388 fail2ban.filter         [460]: INFO    [sshd] Found 185.81.68.191 - 2022-12-09 12:22:28

Pour l’instant, je n’ai pas donné l’adresse de mon serveur à qui que ce soit, donc aucune chance que ces accès aient été demandés par des “utilisateurs”.
Que faut-il faire pour éviter ces attaques ? Faut-il changer le port SSH comme préconisé dans les emails ? Ou y a-t-il quelque chose d’autre à faire ?

2

Oui

3

Je continue de recevoir ces emails, bien que je ne voie plus de message dans les logs de fail2ban: faut-il redémarrer fail2ban après avoir modifié le port SSH ?

4

Dans ce cas je regarderais ce qu’il y a dans /var/log/auth.log (qui est un peu plus complexe que les autres logs) car le diagnostique vérifie indirectement ce log qui contient d’autres tentatives d’authentification que juste celles sur SSH

5

Bonjour à toutes et tous,

Depuis quelques jours, j’ai également recu ce message à de nombreuses reprises.

Il y a eu récemment un grand nombre d'échecs d'authentification. Assurez-vous que Fail2Ban est en cours d'exécution et est correctement configuré, ou utilisez un port personnalisé pour SSH comme expliqué dans https://yunohost.org/security.

Mon installation est plus ancienne et c’est la 1ère fois que j’ai ce genre de msg. Depuis le début j’ai changé le port SSH.

Voici ce que donne les logs de Fail2ban.

J’ai vu, dans un autre post une commande proposée par Aleks pour creuser un peu la chose…

Voici ce que ça donne… (je ne mets que les dernières lignes pour ne pas surcharger)

Dec 14 11:53:33 unautremondeestpossible.be sshd[10002]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=77.231.188.206
Dec 14 11:53:35 unautremondeestpossible.be sshd[10005]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=172.126.79.44
Dec 14 11:53:41 unautremondeestpossible.be sshd[10008]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=134.209.69.41
Dec 14 11:53:47 unautremondeestpossible.be sshd[10011]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=52.140.196.137  user=root
Dec 14 11:54:20 unautremondeestpossible.be sshd[10018]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=216.172.165.97
Dec 14 11:54:22 unautremondeestpossible.be sshd[10020]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=220.85.100.151  user=mysql
Dec 14 11:54:26 unautremondeestpossible.be sshd[10026]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=14.139.191.204
Dec 14 11:54:36 unautremondeestpossible.be sshd[10030]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=210.14.6.60
Dec 14 11:54:39 unautremondeestpossible.be sshd[10033]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=143.198.223.217
Dec 14 11:55:04 unautremondeestpossible.be sshd[10040]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=20.126.126.43  user=root
Dec 14 11:55:10 unautremondeestpossible.be sshd[10043]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=164.92.118.96
Dec 14 11:55:25 unautremondeestpossible.be sshd[10046]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=91.40.147.145
Dec 14 11:55:44 unautremondeestpossible.be sshd[10050]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=47.180.212.134
Dec 14 11:55:55 unautremondeestpossible.be sshd[10053]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=90.177.60.75
Dec 14 11:56:09 unautremondeestpossible.be sshd[10056]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=49.248.148.165
Dec 14 11:56:20 unautremondeestpossible.be sshd[10060]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=187.23.136.211
Dec 14 11:56:27 unautremondeestpossible.be sshd[10063]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=134.209.69.41  user=root
Dec 14 11:56:33 unautremondeestpossible.be sshd[10065]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=172.126.79.44  user=root
Dec 14 11:56:50 unautremondeestpossible.be sshd[10068]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=77.231.188.206
Dec 14 11:57:12 unautremondeestpossible.be sshd[10071]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=52.140.196.137  user=root
Dec 14 11:57:25 unautremondeestpossible.be sshd[10073]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=216.172.165.97  user=root
Dec 14 11:57:37 unautremondeestpossible.be sshd[10076]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=220.85.100.151  user=root
Dec 14 11:57:46 unautremondeestpossible.be sshd[10078]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=2a02:578:85f6:d00:143f:3002:7374:a8af  user=admin
Dec 14 11:57:52 unautremondeestpossible.be sshd[10097]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=45.183.192.14
Dec 14 11:57:53 unautremondeestpossible.be sshd[10100]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=177.19.224.213
Dec 14 11:57:55 unautremondeestpossible.be sshd[10105]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=210.14.6.60  user=root
Dec 14 11:58:01 unautremondeestpossible.be sshd[10108]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=180.178.190.234

Dois-je m’inquiéter? Faire qqch?

Merci beaucoup!

Quentin

6

Bonjour,

même message ici !

J’ai mis un extrait de /var/log/auth.log ici:
https://paste.yunohost.org/ewakaqileh.py

Il semble qu’effectivement il y ait plusieurs tentatives de connexion inconnues.

7

This topic was automatically closed 30 days after the last reply. New replies are no longer allowed.