Ce n’est pas une question, c’est juste quelque chose que j’ai vu la semaine dernière en parcourant les logs de plusieurs de mes serveurs: fail2ban qui blackliste « localhost ».
Après investigation, c’est une machine au Vietnam qui tente de forcer l’accès ssh par force brute et qui renvoie « localhost » lorsque fail2ban fait du reverse mapping. J’étais assez incrédule, mais en effet, un « host XXX.XXX.XXX.XXX » renvoie « localhost »… Je ne sais pas quelles sont les implications exactes au niveau sécurité (j’avais pensé à MySQL, mais comme « localhost » force la connexion par sockets, cela ne devrait pas avoir d’impact négatif), donc si certains ont des conseils quand à quelles mesures additionnelles prendre dans ce cas de figure, je suis preneur!
Mathias
Cet article Tentative d’intrusion depuis… localhost est apparu en premier sur Ressource Info.