Attaque massive ?

[troumad]

Bonjour

Dans mon auth.log j'ai plein de lignes de la forme :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
Jan 21 00:40:19 iutb-geii-bo4 sshd[14311]: Did not receive identification string from 212.122.184.250
Jan 21 00:49:09 iutb-geii-bo4 sshd[14312]: Failed password for root from 212.122.184.250 port 48433 ssh2
Jan 21 00:49:10 iutb-geii-bo4 sshd[14314]: Invalid user fluffy from 212.122.184.250

Toujours le même PC depuis hier quand ce fichier a été créé !

J'ai mis dans /etc/hosts.deny :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

ALL : 212.122.

C'est bon ?

[goldkey]

Troumad,

Pourquoi ne met tu pas en place Fail2ban sur ta station afin de blacklister les IP effectuant des attaques par brute force ??

Citation:

Envoyé par troumad

J'ai mis dans /etc/hosts.deny :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

ALL : 212.122.

C'est bon ?

Oui c'est bon, avec ca tu es tranquille

[troumad]

Citation:

Envoyé par goldkey

Troumad,

Pourquoi ne met tu pas en place Fail2ban sur ta station afin de blacklister les IP effectuant des attaques par brute force ??

Il faudra peut-être que je cherche à savoir comment l'utiliser ! Je n'étais jamais tombé face à ce problème

Citation:

Envoyé par goldkey

Oui c'est bon, avec ça tu es tranquille

Merci !
Dans l'affaire, il a tellement

[goldkey]

Citation:

Envoyé par troumad

Il faudra peut-être que je cherche à savoir comment l'utiliser ! Je n'étais jamais tombé face à ce problème

Rien de plus simple...fail2ban est fourni en package avec la plupart des distributions.
De plus un fichier de configuration par défaut est fourni pour ne pas te casser la tete.
Sur le site de fail2ban tu trouveras toutes les infos necessaire.

Cela t'evitera bien des soucis

[freemanbubu]

Salut,

J'ai deja repéré ce genre d'attaque sur mon FTP (ma passerelle a automatiquement blacklisté l'IP d'origine)

Question : pourquoi moi??
Est-ce qu'il s'agit de robots qui choisissent des IP aléatoires? comment l'attaquant sait-il que j'ai un FTP en ligne (FTP perso, pas un truc de FAI) ?

[goldkey]

Citation:

Envoyé par freemanbubu

Question : pourquoi moi??
Est-ce qu'il s'agit de robots qui choisissent des IP aléatoires? comment l'attaquant sait-il que j'ai un FTP en ligne (FTP perso, pas un truc de FAI) ?

Evidemment ce sont des robots qui scan des IP's plus ou moins aléatoirement.
Une fois que ces robots ont repéré un service d'ouvert sur ton IP (cas des IP fixe) ils reviendront régulièrement

[freemanbubu]

osef, je suis en IP dynamique

Mais c'est vrai que ce genre d'attaque est violente, j'affichais le log en temps réel au moment ou sa c'est produit (coup de chance ), et les tentatives d'accès en boucle, impressionnant

Ce qui est curieux aussi, c'est que lorsque j'ai pris mon abonnement internet, le 2 premiers mois, le filtre de détection/prévention d'intrusion à bloqué une masse d'IP (plus de 100 en tout) qui tentaient des attaques sur différent protocoles, depuis, quasiment plus rien (sauf pour le FTP récemment)

[Katyucha]

Un scan de port sur un sous réseau complet + récupération des ips avec une liste de port ouvert : 20/21, 139 (partage bilou)....etc
Et après, on lance l'attaque de force brute...
Aussi simple que cela

Pour tester vos mots de passe, invitez John

[troumad]

Je l'installe sur mes deux serveurs et dès que j'ai le temps je regarde ce qu'il fait et ce que je peux vérifier...
J'espère qu'il n'est pas trop gourmand en CPU : mes serveurs sont de vieux PC...

[ovh]

Si c'est un serveur ssh privé, change le port par défaut (22) en un autre numéro (> 1024) que tu connais, les attaques cesseront aussitôt
Dans sshd.conf c'est la directive Port.

[troumad]

Si on plus, on modifie du côté client le fichier /etc/ssh_config de la même façon, ça ne devrait pas trop gêner.
Je vais tester : modifier tous ces paramètres sur mes serveurs/clients.
Le changement de port n'est pas très pratique côté client : scp -P1024 d'un côté, ssh -p 1024 de l'autre. Deux protocoles que j'utilise, deux utilisations différentes des paramètres

[troumad]

Argh !

J'avais oublié que je ne suis maitre du firewall professionnel... J'ai tout passé en autre chose que 22 et je ne peux plus accéder à rien...

[troumad]

Citation:

Envoyé par Katyucha

Pour tester vos mots de passe, invitez John

En TP Linux avec des étudiants, mon collègue (on es 2 prof pour 25 étudiants) s'est amusé à donner les mots de passe des étudiants. Ça leur a fait peur

Sur une autre liste, il y a un papa qui a testé le mot de passe de sa fille avec : il a eu peur. Tout d'abord, pourquoi avoir choisi ce mot et ensuite, il était trop simple.

[troumad]

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

grep Failed /var/log/auth.log | grep ssh

Et la peur se transforme en terreur !

[troumad]

Bonjour

Je vais créer un nouveau fil sur fail2ban : j'ai des problèmes...