Il semble y avoir un afflux de connexions non désirées et établies sur le port 22 de mon serveur. Lorsque je lance sudo netstat -natup | grep 'ESTABLISHED' en tant que root, j'obtiens une longue liste de connexions établies non désirées, toutes avec le même PID, qui utilisent différents ports sur mon IP.
root@server:~# sudo netstat -natup | grep 'ESTABLISHED'
tcp 0 712 xxx.xx.xxx.xxx:54010 45.9.148.99:446 ESTABLABLIE 51980/tsm
tcp 0 488 xxx.xx.xxx.xxx:58860 83.224.137.250:22 ESTABLABLIE 51980/tsm
...et environ 100 de plusAprès avoir tué ce processus avec sudo kill -9 [PID], cette liste ne montre que mes connexions ssh pendant quelques minutes. Ensuite, que j'ouvre ou ferme une nouvelle connexion ssh, un nouvel afflux de nouvelles connexions avec le port 22, toutes avec le même PID et accédant chacune à un port différent sur mon adresse IP.
Pour mon pare-feu, j'utilise iptables. Avec la première occurrence, j'ai mis en place des règles pour INPUT et FORWARD qui bloquent les connexions vers l'adresse IP spécifique. Cela fonctionne mais je ne peux pas ajouter chaque adresse IP qui apparaît dans la liste.
$ sudo iptables -I INPUT 1 -s 45.9.148.99 -j DROP
$ sudo iptables -I FORWARD -s 45.9.148.99 -j DROPJe suis novice dans la configuration d'un serveur web Ubuntu. Toute aide est grandement appréciée.
MISE À JOUR : Dans /var/log/auth.log, par exemple, je vois :
Mar 12 12:08:28 server sshd[56681]: Received disconnect from 218.75.147.238 port 51666:11: Bye Bye [pré-authentification]
Mar 12 12:08:28 server sshd[56681]: Déconnecté de l'utilisateur d'authentification root 218.75.147.238 port 51666 [pré-authentification]J'ai récemment configuré des clés ssh et désactivé l'authentification par mot de passe.
