settimanalmente leggo nei log :

Oct 17 12:42:57 srvlnx sshd[26897]: Illegal user henry from ...
Oct 17 12:43:00 srvlnx sshd[26897]: Failed password for illegal user henry from XXX port 35873 ssh2
Oct 17 12:43:03 srvlnx sshd[26913]: Illegal user john from ...
Oct 17 12:43:06 srvlnx sshd[26913]: Failed password for illegal user john from XXX port 35951 ssh2


ora mi chiedo...

con che software effettuano automaticamente questi scan di utenti e pass con SSH ????

cosa mi consigliate come rimedio ?

oltretutto tali scan mi fanno crescere i log in maniera considerevole...

Originariamente inviato da bort_83
settimanalmente leggo nei log :

Oct 17 12:42:57 srvlnx sshd[26897]: Illegal user henry from ...
Oct 17 12:43:00 srvlnx sshd[26897]: Failed password for illegal user henry from XXX port 35873 ssh2
Oct 17 12:43:03 srvlnx sshd[26913]: Illegal user john from ...
Oct 17 12:43:06 srvlnx sshd[26913]: Failed password for illegal user john from XXX port 35951 ssh2


ora mi chiedo...

con che software effettuano automaticamente questi scan di utenti e pass con SSH ????

cosa mi consigliate come rimedio ?

oltretutto tali scan mi fanno crescere i log in maniera considerevole...

più che scan mi sembrano tentativi veri e propri di accedere via ssh al server.

Se hai un ip fisso, probabilmente facendo un nmap sul tuo ip hanno visto che gira il server ssh e di conseguenza tentano di accedervi. Per il rimedio, personalmente :boh:

ok, io intendevo scan non nel senso di port scan..

cmq sia penso proprio sia una procedura automatica.. dato che quello che ho postato è solo una minima parte..

ci sono decine di tentativi di login dallo stesso ip...

ho provato a cercare in giro ma nn ho trovato niente che effettui queste cose..

può essere uno script di bash ?

come posso dire a iptables di droppare le connessioni da un determinato ip dopo un certo numero di tentativi sulla porta ssh ?