Bonsoir à tous,
 
Je possède un NAS Qnap TS109 II que j'utilise en sftp pour faire du partage avec un ordinateur distant.
 
Dans je journal de connexion de mon NAS, toutes les 10sec une tentative de connexion SSH à lieu : le nom d'utilisateur change à chaque fois (alexandra, bobby, brandon, admin etc etc TOUT Y PASSE!!) mais l'adresse IP reste la même. Et lorsque j'utilise cette adresse IP dans Firefox, je tombe sur cette page http://201.67.77.232/nanoweb.html !!!!
 
Est-ce un pirate ? Comment puis-je sécuriser mon SSH ?
 
J'avoue être un peu flippé  

bloqueer le port 22 en internet et externe

Je ne sais pas si ça va faire quelque chose mais tu peux envoyer un mail de plainte à
abuse@noc.brasiltelecom.net.br
 
 
# whois 201.67.77.232
[Requête en cours whois.lacnic.net]
[Redirigé vers whois.registro.br]
[Requête en cours whois.registro.br]
[whois.registro.br]
 
% Copyright (c) Nic.br
%  The use of the data below is only permitted as described in
%  full by the terms of use (http://registro.br/termo/en.html),
%  being prohibited its distribution, comercialization or
%  reproduction, in particular, to use it for advertising or
%  any similar purpose.
%  2008-08-28 09:54:26 (BRT -03:00)
 
inetnum:     201.66/15
aut-num:     AS8167
abuse-c:     BTA17
owner:       Brasil Telecom S/A - Filial Distrito Federal
ownerid:     076.535.764/0326-90
responsible: Brasil Telecom S. A. - CNRS
owner-c:     BTC14
tech-c:      BTC14
inetrev:     201.67.77/24
nserver:     ns03-cta.brasiltelecom.net.br  
nsstat:      20080826 AA
nslastaa:    20080826
nserver:     ns04-bsa.brasiltelecom.net.br  
nsstat:      20080826 AA
nslastaa:    20080826
created:     20060130
changed:     20060130
 
nic-hdl-br:  BTA17
person:      Brasil Telecom S. A - Abuso
e-mail:      abuse@noc.brasiltelecom.net.br
created:     20030624
changed:     20050214
 
nic-hdl-br:  BTC14
person:      Brasil Telecom S. A. - CNRS
e-mail:      suporte@noc.brasiltelecom.net.br
created:     20031003
changed:     20080229
 
% Security and mail abuse issues should also be addressed to
% cert.br, http://www.cert.br/, respectivelly to cert@cert.br
% and mail-abuse@cert.br
%
% whois.registro.br accepts only direct match queries. Types
% of queries are: domain (.br), ticket, provider, ID, CIDR
% block, IP and ASN.
 

tu n'as pas de fonction pour bloquer des ip/pool d'ip sur ton routeur ? si oui, tu le bloque et comme ça tu garde tes accès distant via ssh

Si ton entrée sur ton serveur SSH est verrouillé par un mot de passe correct (suite aléatoire de lettres et de chiffres, exemple: Dkfi5eocè), alors laisse ce trouduc' se fatiguer pour rien; au moins, pendant ce temps, il fout la paix aux autres...  

Comme l indique tom1985 si ton mot de passe est correcte du n aura jamais de probleme. Meme si tu bloque cette ip tu aura d autre attack voir si il passe par un proxy ca ne sert a rien
Ayant moi meme un serveur j ai des centaines, milliers d attaque par jour j ai des jours ou toutes les 10 secondes j ai une demande en SSH mais mon mot de passe tiens pour le moment
 

Salut,
1) interdire l'accès SSH à root
2) installer fail2ban si tu peux, il interdira à l'IP de se connecter au bout de X tentatives de connections
3)Changer le port d'écoute ssh ( le mettre en 23 au lieu de 22 par exemple)

+1 pour fail2ban

je plussoie
 
sinon, à lire
 
http://wiki.generation-linux.yi.or [...] eforce_ssh

 
 
Effectivement, jolis scripts sur ces pages