Attaque brute force sur serveur MySQL

mediaforest · 16/04/2008, 17h42

Bonjour, à tous,
Mon serveur est en train de subir une attaque brute force sur le serveur Mysql
J'ai cherché dans google, mais je n'ai trouvé aucune info sur ce genre d'attaque.

mon log mysql est rempli depuis la nuit dernière de milliers de :

080416 16:57:57 286051 Connect Accès refusé pour l'utilisateur: 'root'@'@proxy.marin.k12.ca.us' (mot de passe: OUI)
080416 16:57:58 286052 Connect Accès refusé pour l'utilisateur: 'root'@'@proxy.marin.k12.ca.us' (mot de passe: OUI)
080416 16:57:59 286053 Connect Accès refusé pour l'utilisateur: 'root'@'@proxy.marin.k12.ca.us' (mot de passe: OUI)
080416 16:58:01 286054 Connect Accès refusé pour l'utilisateur: 'root'@'@proxy.marin.k12.ca.us' (mot de passe: OUI)

au rythme d'un par seconde.
l'hôte proxy.marin.k12.ca.us n'étant ni "pingable", ni "resolvable", j'ai du utiliser iptraf pour identifier l'ip 137.164.143.114 à l'origine des connexions sur le port 3306 de ma machine et enfin la bloquer à la main par iptables.

Je cherche dans la doc de Mysql si il n'y a pas une option pour rejeter une machine après un certain nombre de connexions infructueuses, mais je ne trouve rien... Enfin si, j'ai bien trouvé le paramètre "max connect errors" mais il ne doit pas s'appliquer dans ce cas puisque bien que configuré à 10, des milliers de tentatives ont eu lieu sans le moindre blocage.

Je suppose, qu'il est possible de configurer fail2ban pour qu'il scrute le log mysql, mais le problème dans mon cas est que le nom d'hôte proxy.marin.k12.ca.us n'était pas "resolvable", et sans ip pas de blocage iptable possible.

Je m'étonne vraiment que MySQL de dispose pas d'origine d'un mécanisme permettant de faire avorter rapidement une telle attaque...
Ou alors j'ai raté quelque chose ?

SphynXz · 17/04/2008, 09h30

Moi perso je change tout les ports par défaut. SSH, FTP, MySQL...
vue que le brute force à vue que ton serveur répondait sur le port 3306, il s'y est attaqué. En revanche s'il avait été mit sur un autre port, le brute force aurait chercher une autre victime!

mediaforest · 17/04/2008, 11h51

Merci pour ta réponse.
Mais dans mon cas, l'utilisation des ports par défaut est nécessaire, car de nombreux utilisateurs novices, mais autorisés doivent pouvoir s'y connecter, avec un minimum de manipulations, donc sur les ports par défaut, d'autre part un simple coup de nmap permet à n'importe qui d'identifier les ports ouverts et de tenter de s'y connecter.
C'est pour ça que ce que je cherche c'est un paramètre interdisant la connexion d'une machine après n tentatives de connexion infructueuses, ou bien qui augmente la temporisation, après chaque tentative ratée...

SphynXz · 17/04/2008, 12h08

sauf que les brute force ne tentent pas n'importe quel port ouvert

si un brute force voit le port 2121 ouvert, il s'en fout

, parce qu'il sait pas trop ce que c'est , mais le port 21, là ca l'interesse

mediaforest · 17/04/2008, 12h19

Quelqu'un (ou un robot bien programmé) qui cherche visiblement à se connecter spécifiquement à serveur Mysql, est tout à fait capable de tenter une connexion mysql sur n'importe quel port ouvert, qu'il soit standard ou non.
Et pire si jamais ce quelqu'un vise à rentrer dans TON serveur, et pas dans n'importe lequel comme le font tous les scriptkiddies, le fait de changer les ports n'y changera pas grand chose

SphynXz · 17/04/2008, 14h08

Si le pirate veut t'attaquer toi en personne oui c'est sans effet, dans mon cas ce ne sera possible dans le sens où uniquement mon adresse ip ne peut se connecter au serveur. mais dans ton cas c'est plus complexe

JinJu · 21/04/2008, 11h28

Bonjour,

Sur le site MySQL:

"max_connect_errors

S'il y a plus que max_connect_errors connexion interrompues depuis un même hôte, cet hôte sera bloqué dans ses prochaines tentatives de connexions. Vous pouvez débloquer un hôte avec la commande FLUSH HOSTS."

Par hasard tu aurais pas une commande FLUSH HOSTS qui serait exécutée quelque part?

mediaforest · 23/04/2008, 11h13

Comme je le disais plus haut, j'ai bien repéré le paramètre max_connect_errors
mais on dirait qu'une tentative de login refusée n'est pas considérée par MySQL comme une "connexion interrompue"

J'ai bien vérifié dans mes logs et je n'ai pas trouvé de FLUSH HOSTS...
En plus comme les tentatives de connexion ont lieu au rythme d'une par seconde, avec le réglage par défaut de max_connect_errors, il faudrait un FLUSH HOSTS toutes les 10 secondes pour permettre toutes ces tentatives de connexion... Je nage

guismojames · 06/11/2009, 17h18

Bien que le sujet soit ancien, je souhaite répondre à ceux qui aurait des questions similaire.

Une utilisation externe de MySQL n'est pas le problème exposé, car il s'agit d'un accès ouvert pour des utilisateurs a des fins d'administration.

Protègé vos serveur MySQL derrière des tunnel SSH sécurités ou au pire privilègié le VPN pour vos administrateurs nomades.

Pour le FTP, privillègié le SFTP, filezilla et bien d'autre client ne nécéssite pas plus de paramètrage pour utiliser SFTP.

Aujourd'hui, les technolgies de VPN mise en place GRATUITEMENT par Logmein, sont me semble t'il, un moyen simple et rapide de protèger des machines un minimum.

Sachez enfin, que sans de considérable moyen dans des protections physique, un réseau sera toujours faillible. Mais avec un bon certificat de sécurité, vous aurez affaire a des pirates d'un toute autre niveau à qui votre serveur n'intérêssera pas ^^

16/04/2008, 17h42	#1
mediaforest Invité de passage Inscription : juin 2004 Messages : 7 Détails du profil Informations forums : Inscription : juin 2004 Messages : 7 Points : 1 Points : 1	Attaque brute force sur serveur MySQL Bonjour, à tous, Mon serveur est en train de subir une attaque brute force sur le serveur Mysql J'ai cherché dans google, mais je n'ai trouvé aucune info sur ce genre d'attaque. mon log mysql est rempli depuis la nuit dernière de milliers de : 080416 16:57:57 286051 Connect Accès refusé pour l'utilisateur: 'root'@'@proxy.marin.k12.ca.us' (mot de passe: OUI) 080416 16:57:58 286052 Connect Accès refusé pour l'utilisateur: 'root'@'@proxy.marin.k12.ca.us' (mot de passe: OUI) 080416 16:57:59 286053 Connect Accès refusé pour l'utilisateur: 'root'@'@proxy.marin.k12.ca.us' (mot de passe: OUI) 080416 16:58:01 286054 Connect Accès refusé pour l'utilisateur: 'root'@'@proxy.marin.k12.ca.us' (mot de passe: OUI) au rythme d'un par seconde. l'hôte proxy.marin.k12.ca.us n'étant ni "pingable", ni "resolvable", j'ai du utiliser iptraf pour identifier l'ip 137.164.143.114 à l'origine des connexions sur le port 3306 de ma machine et enfin la bloquer à la main par iptables. Je cherche dans la doc de Mysql si il n'y a pas une option pour rejeter une machine après un certain nombre de connexions infructueuses, mais je ne trouve rien... Enfin si, j'ai bien trouvé le paramètre "max connect errors" mais il ne doit pas s'appliquer dans ce cas puisque bien que configuré à 10, des milliers de tentatives ont eu lieu sans le moindre blocage. Je suppose, qu'il est possible de configurer fail2ban pour qu'il scrute le log mysql, mais le problème dans mon cas est que le nom d'hôte proxy.marin.k12.ca.us n'était pas "resolvable", et sans ip pas de blocage iptable possible. Je m'étonne vraiment que MySQL de dispose pas d'origine d'un mécanisme permettant de faire avorter rapidement une telle attaque... Ou alors j'ai raté quelque chose ?
	00

17/04/2008, 09h30	#2
SphynXz Membre éprouvé Développeur Web Inscription : mars 2008 Messages : 439 Détails du profil Informations personnelles : Âge : 26 Informations professionnelles : Activité : Développeur Web Informations forums : Inscription : mars 2008 Messages : 439 Points : 474 Points : 474	Moi perso je change tout les ports par défaut. SSH, FTP, MySQL... vue que le brute force à vue que ton serveur répondait sur le port 3306, il s'y est attaqué. En revanche s'il avait été mit sur un autre port, le brute force aurait chercher une autre victime! __________________ I don't know what will be used in the next world war, but the 4th will be fought with stones. - Albert Einstein Pour détourner un avion, il faut monter dedans - Frédéric beigbeder
	00

17/04/2008, 12h08	#4
SphynXz Membre éprouvé Développeur Web Inscription : mars 2008 Messages : 439 Détails du profil Informations personnelles : Âge : 26 Informations professionnelles : Activité : Développeur Web Informations forums : Inscription : mars 2008 Messages : 439 Points : 474 Points : 474	sauf que les brute force ne tentent pas n'importe quel port ouvert si un brute force voit le port 2121 ouvert, il s'en fout , parce qu'il sait pas trop ce que c'est , mais le port 21, là ca l'interesse __________________ I don't know what will be used in the next world war, but the 4th will be fought with stones. - Albert Einstein Pour détourner un avion, il faut monter dedans - Frédéric beigbeder
	00

17/04/2008, 14h08	#6
SphynXz Membre éprouvé Développeur Web Inscription : mars 2008 Messages : 439 Détails du profil Informations personnelles : Âge : 26 Informations professionnelles : Activité : Développeur Web Informations forums : Inscription : mars 2008 Messages : 439 Points : 474 Points : 474	Si le pirate veut t'attaquer toi en personne oui c'est sans effet, dans mon cas ce ne sera possible dans le sens où uniquement mon adresse ip ne peut se connecter au serveur. mais dans ton cas c'est plus complexe __________________ I don't know what will be used in the next world war, but the 4th will be fought with stones. - Albert Einstein Pour détourner un avion, il faut monter dedans - Frédéric beigbeder
	00

06/11/2009, 17h18	#9
guismojames Invité régulier Inscription : avril 2008 Messages : 10 Détails du profil Informations personnelles : Âge : 26 Informations forums : Inscription : avril 2008 Messages : 10 Points : 5 Points : 5	Bonjour Bien que le sujet soit ancien, je souhaite répondre à ceux qui aurait des questions similaire. Une utilisation externe de MySQL n'est pas le problème exposé, car il s'agit d'un accès ouvert pour des utilisateurs a des fins d'administration. Protègé vos serveur MySQL derrière des tunnel SSH sécurités ou au pire privilègié le VPN pour vos administrateurs nomades. Pour le FTP, privillègié le SFTP, filezilla et bien d'autre client ne nécéssite pas plus de paramètrage pour utiliser SFTP. Aujourd'hui, les technolgies de VPN mise en place GRATUITEMENT par Logmein, sont me semble t'il, un moyen simple et rapide de protèger des machines un minimum. Sachez enfin, que sans de considérable moyen dans des protections physique, un réseau sera toujours faillible. Mais avec un bon certificat de sécurité, vous aurez affaire a des pirates d'un toute autre niveau à qui votre serveur n'intérêssera pas ^^
	00

17/04/2008, 11h51	#3
mediaforest Invité de passage Inscription : juin 2004 Messages : 7 Détails du profil Informations forums : Inscription : juin 2004 Messages : 7 Points : 1 Points : 1	Merci pour ta réponse. Mais dans mon cas, l'utilisation des ports par défaut est nécessaire, car de nombreux utilisateurs novices, mais autorisés doivent pouvoir s'y connecter, avec un minimum de manipulations, donc sur les ports par défaut, d'autre part un simple coup de nmap permet à n'importe qui d'identifier les ports ouverts et de tenter de s'y connecter. C'est pour ça que ce que je cherche c'est un paramètre interdisant la connexion d'une machine après n tentatives de connexion infructueuses, ou bien qui augmente la temporisation, après chaque tentative ratée...
	00

17/04/2008, 12h19	#5
mediaforest Invité de passage Inscription : juin 2004 Messages : 7 Détails du profil Informations forums : Inscription : juin 2004 Messages : 7 Points : 1 Points : 1	Quelqu'un (ou un robot bien programmé) qui cherche visiblement à se connecter spécifiquement à serveur Mysql, est tout à fait capable de tenter une connexion mysql sur n'importe quel port ouvert, qu'il soit standard ou non. Et pire si jamais ce quelqu'un vise à rentrer dans TON serveur, et pas dans n'importe lequel comme le font tous les scriptkiddies, le fait de changer les ports n'y changera pas grand chose
	00

21/04/2008, 11h28	#7
JinJu Membre du Club Inscription : janvier 2007 Messages : 66 Détails du profil Informations forums : Inscription : janvier 2007 Messages : 66 Points : 49 Points : 49	Bonjour, Sur le site MySQL: "max_connect_errors S'il y a plus que max_connect_errors connexion interrompues depuis un même hôte, cet hôte sera bloqué dans ses prochaines tentatives de connexions. Vous pouvez débloquer un hôte avec la commande FLUSH HOSTS." Par hasard tu aurais pas une commande FLUSH HOSTS qui serait exécutée quelque part?
	00

23/04/2008, 11h13	#8
mediaforest Invité de passage Inscription : juin 2004 Messages : 7 Détails du profil Informations forums : Inscription : juin 2004 Messages : 7 Points : 1 Points : 1	Comme je le disais plus haut, j'ai bien repéré le paramètre max_connect_errors mais on dirait qu'une tentative de login refusée n'est pas considérée par MySQL comme une "connexion interrompue" J'ai bien vérifié dans mes logs et je n'ai pas trouvé de FLUSH HOSTS... En plus comme les tentatives de connexion ont lieu au rythme d'une par seconde, avec le réglage par défaut de max_connect_errors, il faudrait un FLUSH HOSTS toutes les 10 secondes pour permettre toutes ces tentatives de connexion... Je nage
	00

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email