Alerte Au Pirate

myangga · Le 03/03/2007, à 01:54

Bonsoir à tous,

je viens à l'instant de remarquer une tentative de brutforce sur mes ports en ssh par un pelo.
Pour preuve mes logs et j'ai tracé l'ip pour savoir ou il était.
Il est chez free d'ailleurs... ça me fait penser qu'ils ont un service pour signaler ce genre d'incident ...

Qu'en pensez vous?

Enfin voilà avis au connard ce soir sur ssh.

Voici d'ailleurs une infime partie des logs enregistrés ce soir

Mar 3 00:27:41 mikael-desktop sshd[10277]: (pam_unix) authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=bluebox.equin0xe.org user=root
Mar 3 00:27:43 mikael-desktop sshd[10277]: Failed password for root from 82.227.48.154 port 53340 ssh2
Mar 3 00:27:44 mikael-desktop sshd[10281]: (pam_unix) authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=bluebox.equin0xe.org user=root
Mar 3 00:27:46 mikael-desktop sshd[10281]: Failed password for root from 82.227.48.154 port 53551 ssh2
Mar 3 00:27:47 mikael-desktop sshd[10283]: (pam_unix) authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=bluebox.equin0xe.org user=root
Mar 3 00:27:49 mikael-desktop sshd[10283]: Failed password for root from 82.227.48.154 port 53748 ssh2
Mar 3 00:27:50 mikael-desktop sshd[10287]: (pam_unix) authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=bluebox.equin0xe.org user=root
Mar 3 00:27:52 mikael-desktop sshd[10287]: Failed password for root from 82.227.48.154 port 53943 ssh2
Mar 3 00:27:52 mikael-desktop sshd[10289]: (pam_unix) authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=bluebox.equin0xe.org user=root
Mar 3 00:27:55 mikael-desktop sshd[10289]: Failed password for root from 82.227.48.154 port 54121 ssh2
Mar 3 00:27:55 mikael-desktop sshd[10293]: (pam_unix) authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=bluebox.equin0xe.org user=root
Mar 3 00:27:57 mikael-desktop sshd[10293]: Failed password for root from 82.227.48.154 port 54324 ssh2
Mar 3 00:27:58 mikael-desktop sshd[10295]: (pam_unix) authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=bluebox.equin0xe.org user=root
Mar 3 00:27:58 mikael-desktop sudo: mikael : TTY=pts/0 ; PWD=/etc/ppp ; USER=root ; COMMAND=/usr/sbin/pptpd start
Mar 3 00:28:00 mikael-desktop sshd[10295]: Failed password for root from 82.227.48.154 port 54500 ssh2
Mar 3 00:28:01 mikael-desktop sshd[10301]: (pam_unix) authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=bluebox.equin0xe.org user=root
Mar 3 00:28:03 mikael-desktop sshd[10301]: Failed password for root from 82.227.48.154 port 54689 ssh2
Mar 3 00:28:03 mikael-desktop sshd[10305]: (pam_unix) authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=bluebox.equin0xe.org user=root
Mar 3 00:28:06 mikael-desktop sshd[10305]: Failed password for root from 82.227.48.154 port 54871 ssh2
Mar 3 00:28:06 mikael-desktop sshd[10307]: (pam_unix) authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=bluebox.equin0xe.org user=root
Mar 3 00:28:08 mikael-desktop sshd[10307]: Failed password for root from 82.227.48.154 port 55076 ssh2
Mar 3 00:28:08 mikael-desktop sshd[10311]: (pam_unix) authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=bluebox.equin0xe.org user=root
Mar 3 00:28:10 mikael-desktop sshd[10311]: Failed password for root from 82.227.48.154 port 55228 ssh2
Mar 3 00:28:11 mikael-desktop sshd[10313]: (pam_unix) authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=bluebox.equin0xe.org user=root

Dernière modification par myangga (Le 03/03/2007, à 01:55)

xilef · Le 03/03/2007, à 01:59

En effet ça me parrait une tentative de brute force. Sur mon serveur aussi ça arrive souvent. Je te conseille d'installer denyhost

Infinity · Le 03/03/2007, à 02:02

mouahaha, il aurait du vérifier ta distro avant.... en root, il va avoir du mal ^^

myangga · Le 03/03/2007, à 02:13

Lol Infinity

Merci xilef, j'ai commencé à l'installer.

pmd · Le 03/03/2007, à 02:30

Et ... comment tu as accès à ces log ?

LeSmurf · Le 03/03/2007, à 03:23

myangga a écrit :

Il est chez free d'ailleurs... ça me fait penser qu'ils ont un service pour signaler ce genre d'incident ...
Qu'en pensez vous?

Ca se trouve, le pauvre gars n'est même pas au courant. Il s'agit peut être d'un 'invité' qui se serait logé sur son beau Windows à l'insu de son plein gré.

Mais dans le doute, je signalerais. Si il est coupable, ça l'insitera à se calmer, et si il est innocent, ça l'incitera à installer Linux

ssdg · Le 03/03/2007, à 03:44

Mais QUI laisse un accès direct à root par SSH? (que je le fouête)

Personnellement chez moi SSH donne accès à un compte tout pourris sans droits sur rien et oblige à faire un su.

(c'est dans /etc/sshd_config j'ai ajouté "AllowUsers comptePourris" le compte pourris ayant été crée auparavant.)

cetyl · Le 03/03/2007, à 09:58

j'ai egalement eu se probleme http://forum.ubuntu-fr.org/viewtopic.php?id=94600

pour ce que j'en sais,les attaques viennent la pluspart du temps de machines sous linux qui ont egalament un serveur ssh et des ports ouverts avec un rootkit en ecoute (infos recueillis avec nmap)

Dernière modification par cetyl (Le 03/03/2007, à 09:59)

ffomnislash · Le 03/03/2007, à 11:50

Une solution a ce genre de probleme est d'utiliser un systeme de cle prive/cle publique ou alors de limite le nombre d'essai par minutes/heure ...

blutch · Le 03/03/2007, à 11:57

une autre également, en tout cas pour réduire considérablement ce nombre de tentatives, c'est de changer le port de ssh et de le mettre sur un port inutilisé, et pour passer devoir se casser la nénétte à chaque devoir taper ssh -p2222 par exemple, suffit de créer un alias

naholyr · Le 03/03/2007, à 11:57

Il s'agit probablement d'une Dedibox. Ce service a attiré une foule de débutants qui n'ont pour la majorité pas pris la peine d'écouter le moindre conseil, et n'ont pas sécurisé leur serveur pour un sou. C'est devenu un nid à spambots et rootkits en tous genre (et c'est seulement aujourd'hui que Free ferme le port 25 en sortie par défaut sur tous ses serveurs).

abetsic · Le 03/03/2007, à 12:23

Pour éviter ce genre de guignols qui remplissent mes logs j'ai un script iptables qui bloque l'ip si 3 tentatives échoués de connexion ssh :

# flush the table entry
iptables -F

# Block the IP for 60 seconds after three failed ssh connections
iptables -N SSH_WHITELIST
iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --set --name SSH
iptables -A INPUT -p tcp --dport 22 -m state --state NEW -j SSH_WHITELIST
iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 60 --hitcount 4 --rttl --name SSH -j ULOG --ulog-prefix SSH_brute_force
iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 60 --hitcount 4 --rttl --name SSH -j DROP

rf2b · Le 03/03/2007, à 13:29

ce monsieur ou la machine en question est de strasbourg :

Plage IP : 82.227.48.0 - 82.227.49.255
Infos : Proxad / Free SAS
Infos : Static pool (Freebox)
Infos : brumath-1 (strasbourg_es)
Infos : NCC#2003105812
Pays : France (FR)

brakbabord · Le 03/03/2007, à 13:41

Bon, je viens de vérifier, je n'ai pas le serveur open ssh d'installé, normalement je suis tranquile de ce côté là

Sinon je ne peux m'empêcher de remarquer un truc : Vous avez subit des tentatives d'attaques, mais elles ont toutes échoué, alors que votre simple système de défense était... Linux !

jdautz · Le 03/03/2007, à 14:35

brakbabord: GNU linux

Gnu pour les outils
Linux pour le noyeau
Windows pour les pépins

Luckynow · Le 03/03/2007, à 17:40

@ jdautz elle pas mal celle là je la retiendrai héhé

scorpio810 · Le 03/03/2007, à 17:50

rf2b a écrit :

ce monsieur ou la machine en question est de strasbourg :
Plage IP : 82.227.48.0 - 82.227.49.255
Infos : Proxad / Free SAS
Infos : Static pool (Freebox)
Infos : brumath-1 (strasbourg_es)
Infos : NCC#2003105812
Pays : France (FR)

ta fait comment pour trouver d'ou venait l' IP ?

rf2b · Le 03/03/2007, à 18:18

ici :

http://www.sdv.fr/clients/ipinfo/

mais il existe plein d'autre site avec encore plus de detail, la j'ai fait ça vite fais

scorpio810 · Le 03/03/2007, à 18:19

merci a toi rf2b

Adrien357 · Le 11/03/2007, à 10:08

Je viens également de déployer mon serveur ssh, j'ai eu le droit à pléthore d'attaques dès la première nuit lol !.
Je vais essayer :
- de limiter le nombre d'essais par minutes (1 toutes les 5 minutes me parait bien... je ferai gaffe à pas me gourer moi même lol)
- de changer le port

"-" · Le 11/03/2007, à 11:28

Tu peux aussi rajouter cette ligne là dans ton /etc/ssh/sshd_config :

MaxStartups 10:40:80

Ca signifie qu'au bout de 10 connexions ton SSH va refuser 40% des connexions, et plus ça va aller plus il va monter vers les 80% de connexions refusées.

"-".

naholyr · Le 11/03/2007, à 12:23

Le plus simple restant d'utiliser un système de fermeture/ouverture de port uniquement à la demande.
Tu ne laisses ouvert que les ports publics (80, 21), et tout le reste est fermé. Tu installes un portier qui a ordre d'ouvrir un port (par exemple le 22) si quelqu'un toque à la porte d'une manière particulière prédéfinie. S'il reconnaît le code, il ouvre le port pour ton adresse IP, et dès que tu ressors il ferme la porte derrière toi.

Ce portier s'appelle knockd

"-" · Le 11/03/2007, à 13:56

Je t'ai dit une bêtise tout à l'heure.

La ligne :

MaxStartups 10:40:80

Signifie :
au bout de 10 connexions, le serveur SSH refuse 40% des connexions venant d'un hôte. Ce pourcentage augmente linéairement jusqu'à refuser toutes les connexions au bout de 80 connexions du même hôte.

Ca m'a fait corriger la ligne pour la transformer en :

MaxStartups 10:70:15

mnhan · Le 13/03/2007, à 01:02

ssdg a écrit :

Mais QUI laisse un accès direct à root par SSH? (que je le fouête)

Ho oui fouette moi!!!!:lol:

je lavais fait mais le serveur ( compact portable presario C566 ) a tourner durant deux ans ,,, sans rien morfler de mechant et aujourdhui cest le hard qui est dead ^^

christux · Le 13/03/2007, à 18:37

brakbabord a écrit :

Sinon je ne peux m'empêcher de remarquer un truc : Vous avez subit des tentatives d'attaques, mais elles ont toutes échoué, alors que votre simple système de défense était... Linux !

J'adore cette citation, je crois que je vais en faire ma devise lol
Avec le firewall de linux je n'ai jamais rien eu non plus. Et pour le ssh je suis du même avis que la majorité..

Ubuntu-fr

Navigation

Liens de recherche

Annonce

#1 Le 03/03/2007, à 01:54

Alerte Au Pirate

#2 Le 03/03/2007, à 01:59

Re : Alerte Au Pirate

#3 Le 03/03/2007, à 02:02

Re : Alerte Au Pirate

#4 Le 03/03/2007, à 02:13

Re : Alerte Au Pirate

#5 Le 03/03/2007, à 02:30

Re : Alerte Au Pirate

#6 Le 03/03/2007, à 03:23

Re : Alerte Au Pirate

#7 Le 03/03/2007, à 03:44

Re : Alerte Au Pirate

#8 Le 03/03/2007, à 09:58

Re : Alerte Au Pirate

#9 Le 03/03/2007, à 11:50

Re : Alerte Au Pirate

#10 Le 03/03/2007, à 11:57

Re : Alerte Au Pirate

#11 Le 03/03/2007, à 11:57

Re : Alerte Au Pirate

#12 Le 03/03/2007, à 12:23

Re : Alerte Au Pirate

#13 Le 03/03/2007, à 13:29

Re : Alerte Au Pirate

#14 Le 03/03/2007, à 13:41

Re : Alerte Au Pirate

#15 Le 03/03/2007, à 14:35

Re : Alerte Au Pirate

#16 Le 03/03/2007, à 17:40

Re : Alerte Au Pirate

#17 Le 03/03/2007, à 17:50

Re : Alerte Au Pirate

#18 Le 03/03/2007, à 18:18

Re : Alerte Au Pirate

#19 Le 03/03/2007, à 18:19

Re : Alerte Au Pirate

#20 Le 11/03/2007, à 10:08

Re : Alerte Au Pirate

#21 Le 11/03/2007, à 11:28

Re : Alerte Au Pirate

#22 Le 11/03/2007, à 12:23

Re : Alerte Au Pirate

#23 Le 11/03/2007, à 13:56

Re : Alerte Au Pirate

#24 Le 13/03/2007, à 01:02

Re : Alerte Au Pirate

#25 Le 13/03/2007, à 18:37

Re : Alerte Au Pirate

Pied de page des forums