Tentative de hack?

[joboy84]

Bonjour,

Je viens de m'apercevoir dans mon fichier /var/log/secure que j'ai des tentatives de connections d'utilisateurs inconnus...Serait ce une tentative de hack? Si oui, que puis je faire?.

Merci

[publicStaticVoidMain]

Visiblement, c'est une tentative de piratage. 210.216.90.246 essaie de se connecter en utilisant plusieurs noms : enzo, mathis, lucas, theo, etc. Voici ce que donne un whois :

Code :

Registrant:
 Graceful Web
 P.O. Box 141
 Pegram, TN 37143
 US
 
 Domain name: GRACEFULWEB.COM
 
 Administrative Contact:
    Stewart Jr, Joseph V  dns@webadelic.net
    P.O. Box 141
    Pegram, TN 37143
    US
    615-646-8511
 Technical Contact:
    Stewart Jr., Joseph V.  dns@webadelic.net
    PO Box 141
    Pegram, TN 37143
    US
    615 646 8511    Fax: 615 646 8906
 

 
 Registration Service Provider:
    Graceful Web, dns@webadelic.net
    615 646 8511
    This company may be contacted for domain login/passwords,
    DNS/Nameserver changes, and general domain support questions.
 

 Registrar of Record: TUCOWS, INC.
 Record last updated on 08-Jan-2008.
 Record expires on 13-Aug-2008.
 Record created on 14-Aug-1998.
 
 Registrar Domain Name Help Center:
    http://domainhelp.tucows.com
 
 Domain servers in listed order:
    NS.GRACEFULWEB.COM   63.247.90.35
    NS2.GRACEFULWEB.COM   207.210.90.243
    NS3.GRACEFULWEB.COM   207.210.95.20
    NS1.GRACEFULWEB.COM   207.210.90.246
 

 Domain status: ok
 
The Data in the Tucows Registrar WHOIS database is provided to you by Tucows
for information purposes only, and may be used to assist you in obtaining
information about or related to a domain name's registration record.
 
Tucows makes this information available "as is," and does not guarantee its
accuracy.
 
By submitting a WHOIS query, you agree that you will use this data only for
lawful purposes and that, under no circumstances will you use this data to:
a) allow, enable, or otherwise support the transmission by e-mail,
telephone, or facsimile of mass, unsolicited, commercial advertising or
solicitations to entities other than the data recipient's own existing
customers; or (b) enable high volume, automated, electronic processes that
send queries or data to the systems of any Registry Operator or
ICANN-Accredited registrar, except as reasonably necessary to register
domain names or modify existing registrations.
 
The compilation, repackaging, dissemination or other use of this Data is
expressly prohibited without the prior written consent of Tucows.
 
Tucows reserves the right to terminate your access to the Tucows WHOIS
database in its sole discretion, including without limitation, for excessive
querying of the WHOIS database or for failure to otherwise abide by this
policy.
 
Tucows reserves the right to modify these terms at any time.
 
By submitting this query, you agree to abide by these terms.
 
NOTE: THE WHOIS DATABASE IS A CONTACT DATABASE ONLY.  LACK OF A DOMAIN
RECORD DOES NOT SIGNIFY DOMAIN AVAILABILITY.

[mathieugut]

Salut,

Tu devrais enlever l'adresse de ton Kimsufi, ça pourrait donner des idées a certains...

Que faire ? Bien rien, juste vérifier que les mots de passes soient toujours actif (notamment celui du root parcequ'on peut l'enlever facilemment dans l'admin du Ks...).

Si il a une IP fixe, il existe peut être moyen de bannir l'ip.

[deny]

salut

tu peux envoyer un message avec copie des logs a abuse@nomdesonfai

surtout tu dois securiser ton serveur
en utilisant fail2ban et et verifier la config de ton serveur
(ne pas autoriser root a se connecter a distance, etc)

a+

[lu6fer]

si tu veux t'amuser un peut.
tu peut aller voir du coté de snort, avec génération de réglés iptables automatique.

Attention ce n'est pas simple a mettre en oeuvre, mais l'avantage est que tout peut etre bloquer ou autoriser de maniere totalement automatique

[Leeloo_Multiboot]

Citation:

tu peut aller voir du coté de snort, avec génération de réglés iptables automatique.

C'est un plugin à ajouter pour la génération des règles Iptables?

[lu6fer]

oui il me semble.

A voir du coté des ids actif

regarde ici

je ne sais plus si c'est celui la que j'avais utiliser, mais en tout cas ca ressemble

[joboy84]

Bonjour,

Merci pour votre aide...

D'apres des recherches que j'avais fait, il pourrait aussi s'agir de scanneur...?

En fait au niveau des protections, j'ai bien un anti brute force: cPHulk
J'ai bien enlever le kinsufi...J'ai également banni l'ip...

Je vais aller voir comment fonctionne snort...

En tout cas merci!

[Leeloo_Multiboot]

Citation:

Je vais aller voir comment fonctionne snort...

N'installe surtout pas la sonde sur ton serveur web si tu n'as pas une conf Iptables bien secure. Car tu risques d'avoir en plus de tes logs Apache, une multitude de remontées d'alertes de Snort et ton serveur, en plus d'être une usine à gaz, va tourner au ralenti.
Je ne pense pas que Snort soit nécessaire dans ton cas (je pars du principe que tu n'as qu'un serveur web).
Une bonne sécurisation d'Apache et des règles précises d'Iptables suffiront amplement

Enjoy !

[ripat]

Ce genre de tentative d'accès est tout à fait normal pour un port ssh ouvert. D'expérience il faut en moyenne environ 30 minutes après l'ouverture d'un port ssh pour voir arriver des tentatives de connexions.

Si le nombre d'utilisateurs légitimes est limité (comme souvent), le plus simple est d'ajouter une directive dans le sshd_config:

Code :

# sécurité minimum
PermitRootLogin no

# restriction utilisateurs
AllowUsers toto marcel jules etc...

# ou, au niveau du groupe
AllowGroups amis_ssh

# restreindre les conditions de login
LoginGraceTime 10
MaxAuthTries 2

Faire man sshd_config pour plus de détails sur ces directives

Autre piste: changer ton port ssh mais en général, avec ce qui précède, tu es déjà suffisamment protégé.

Si vraiment la journalisation des tentatives avortées t'ennuient, un IDS comme Snort pourrait faire l'affaire mais un simple fail2ban suffit largement.

[_solo]

c'est quoi comme serveur pour te logger , parce que sinon fail2ban peut faire l'affaire.

[joboy84]

Citation:

Envoyé par ripat

Si le nombre d'utilisateurs légitimes est limité (comme souvent), le plus simple est d'ajouter une directive dans le sshd_config:

# sécurité minimum
PermitRootLogin no

# restriction utilisateurs
AllowUsers toto marcel jules etc...

# ou, au niveau du groupe
AllowGroups amis_ssh

# restreindre les conditions de login
LoginGraceTime 10
MaxAuthTries 2

Bonjour,

Cela est déjà fait en partie...j'ai bien désactivé l'accès direct en root, j'ai uniquement un utilisateur qui peut se connecter au ssh. comme anti-Brute force il y a CPHulk d'installé et en plus j'ai configuré iptables pour que s'il y a 3 connections échoués dans un espace de temps réduit, cela banni la personne.

Citation:

Autre piste: changer ton port ssh mais en général, avec ce qui précède, tu es déjà suffisamment protégé.

Je voulais le faire car j'avais déjà lu cela...le seul hic, c'est que je ne suis pas trop à l'aise avec iptables...c'etait le support de whm/cpanel qui me l'avait configuré...Je sais comment changer le port du ssh, mais ensuite pour supprimer l entrée actuelle de iptables et ajouter une nouvelle entrée pour le nouveau port...je ne sais pas encore comment faire...

Bonne soirée

[vinc-mai]

Le port est indiqué dans sshd_config

Code :

#What ports, IPs and protocols we listen for
Port 22

Le port 22 est le port utilisé par défaut. À mon avis, il suffit de changer ce numéro dans le fichier sshd_config puis de redémarrer ton serveur ssh.

[capone]

il suffit de changer le numero de port dans le fichier sshd.conf ouu sshd_conf je sais plus, restarter le ssh, ensuite modifier en conséquence tes tables de routages avec le bon port.

[chtipitou]

je confirme apres l'annonce de la faille de securite avec les cles RSA de ssh,
j'ai eu une multitude de connexion en provenance de chine et du japon qui tentait de se connecter (sur un serveur mis a jour)

un changement de port du serveur ssh, a ete radical, plus une seule tentative de connexion