Discussion :

[mediaforest]

Bonjour, à tous,
Mon serveur est en train de subir une attaque brute force sur le serveur Mysql
J'ai cherché dans google, mais je n'ai trouvé aucune info sur ce genre d'attaque.

mon log mysql est rempli depuis la nuit dernière de milliers de :

080416 16:57:57 286051 Connect Accès refusé pour l'utilisateur: 'root'@'@proxy.marin.k12.ca.us' (mot de passe: OUI)
080416 16:57:58 286052 Connect Accès refusé pour l'utilisateur: 'root'@'@proxy.marin.k12.ca.us' (mot de passe: OUI)
080416 16:57:59 286053 Connect Accès refusé pour l'utilisateur: 'root'@'@proxy.marin.k12.ca.us' (mot de passe: OUI)
080416 16:58:01 286054 Connect Accès refusé pour l'utilisateur: 'root'@'@proxy.marin.k12.ca.us' (mot de passe: OUI)

au rythme d'un par seconde.
l'hôte proxy.marin.k12.ca.us n'étant ni "pingable", ni "resolvable", j'ai du utiliser iptraf pour identifier l'ip 137.164.143.114 à l'origine des connexions sur le port 3306 de ma machine et enfin la bloquer à la main par iptables.

Je cherche dans la doc de Mysql si il n'y a pas une option pour rejeter une machine après un certain nombre de connexions infructueuses, mais je ne trouve rien... Enfin si, j'ai bien trouvé le paramètre "max connect errors" mais il ne doit pas s'appliquer dans ce cas puisque bien que configuré à 10, des milliers de tentatives ont eu lieu sans le moindre blocage.

Je suppose, qu'il est possible de configurer fail2ban pour qu'il scrute le log mysql, mais le problème dans mon cas est que le nom d'hôte proxy.marin.k12.ca.us n'était pas "resolvable", et sans ip pas de blocage iptable possible.

Je m'étonne vraiment que MySQL de dispose pas d'origine d'un mécanisme permettant de faire avorter rapidement une telle attaque...
Ou alors j'ai raté quelque chose ?

[SphynXz]

Moi perso je change tout les ports par défaut. SSH, FTP, MySQL...
vue que le brute force à vue que ton serveur répondait sur le port 3306, il s'y est attaqué. En revanche s'il avait été mit sur un autre port, le brute force aurait chercher une autre victime!

[mediaforest]

Merci pour ta réponse.
Mais dans mon cas, l'utilisation des ports par défaut est nécessaire, car de nombreux utilisateurs novices, mais autorisés doivent pouvoir s'y connecter, avec un minimum de manipulations, donc sur les ports par défaut, d'autre part un simple coup de nmap permet à n'importe qui d'identifier les ports ouverts et de tenter de s'y connecter.
C'est pour ça que ce que je cherche c'est un paramètre interdisant la connexion d'une machine après n tentatives de connexion infructueuses, ou bien qui augmente la temporisation, après chaque tentative ratée...

[SphynXz]

sauf que les brute force ne tentent pas n'importe quel port ouvert

si un brute force voit le port 2121 ouvert, il s'en fout , parce qu'il sait pas trop ce que c'est , mais le port 21, là ca l'interesse

[mediaforest]

Quelqu'un (ou un robot bien programmé) qui cherche visiblement à se connecter spécifiquement à serveur Mysql, est tout à fait capable de tenter une connexion mysql sur n'importe quel port ouvert, qu'il soit standard ou non.
Et pire si jamais ce quelqu'un vise à rentrer dans TON serveur, et pas dans n'importe lequel comme le font tous les scriptkiddies, le fait de changer les ports n'y changera pas grand chose

[SphynXz]

Si le pirate veut t'attaquer toi en personne oui c'est sans effet, dans mon cas ce ne sera possible dans le sens où uniquement mon adresse ip ne peut se connecter au serveur. mais dans ton cas c'est plus complexe