Forum général.général Tentative de piratage...

Posté par .
Tags : aucun
0
29
juil.
2006
Bonjour,

Constatant une activité réseau anormale sur mon poste, j'ai commencé à regardé un peu mes logs...

Et voilà ce que j'ai trouvé :

tail -f /var/log/auth.log

Jul 29 18:18:38 localhost sshd[17898]: Invalid user support from 200.2.143.1
Jul 29 18:18:38 localhost sshd[17898]: (pam_unix) check pass; user unknown
Jul 29 18:18:38 localhost sshd[17898]: (pam_unix) authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=smtp.accesshaiti.ht
Jul 29 18:18:40 localhost sshd[17898]: Failed password for invalid user support from 200.2.143.1 port 60920 ssh2
Jul 29 18:18:42 localhost sshd[17903]: Invalid user support from 200.2.143.1
Jul 29 18:18:42 localhost sshd[17903]: (pam_unix) check pass; user unknown
Jul 29 18:18:42 localhost sshd[17903]: (pam_unix) authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=accesshaiti-143-1.accesshaiti.net
Jul 29 18:18:43 localhost sshd[17903]: Failed password for invalid user support from 200.2.143.1 port 33285 ssh2
Jul 29 18:18:45 localhost sshd[17907]: Invalid user support from 200.2.143.1
Jul 29 18:18:45 localhost sshd[17907]: (pam_unix) check pass; user unknown
Jul 29 18:18:45 localhost sshd[17907]: (pam_unix) authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=smtp.accesshaiti.ht
Jul 29 18:18:47 localhost sshd[17907]: Failed password for invalid user support from 200.2.143.1 port 33456 ssh2
Jul 29 18:18:49 localhost sshd[17910]: Invalid user support from
200.2.143.1

...

Et j'en, ai des pages comme ca !!! Autrement dit, un guignol est en train de me faire une attaque sur des noms assez courant pour essayer de rentrer sur mon poste via ssh....

Qu'est ce que je peux faire pour riposter ??

(Vous noterez que je n'ai pas caché volontairement les IP et domaines cités dans les logs... Si vous avez des test à faire, ne vous privez pas !!)
J
  • # J'ai quand même arrété SSH...

    Posté par . Évalué à 2.

    J'ai laissé mes logs se remplir un peu, puis j'ai fini par arréter SSH. Je vais probablement le mettre sur un autre port que le port par défaut...

    Néanmoins, je crois que je vais essayer de mettre un pot à miel juste pour rire !
    • [^] # Re: J'ai quand même arrété SSH...

      Posté par (page perso) . Évalué à 4.

      Le plus simple est d'installer un truc comme denyhosts http://denyhosts.sourceforge.net/ qui bloque les maichans païrates.
      Il semble qu'il y ait aussi la possibilité de contribuer les ips que tu trounoirises.

      Sinon, effectivement, tu peux changer le port de sshd et n'accepter les connexions que par clefs.
      • [^] # Re: J'ai quand même arrété SSH...

        Posté par . Évalué à 4.

        tu peux aussi mettre en place une limite de tentative de connexion TCP avec iptables. La plus part des scripts permettant de telles attaques s'arrêtent généralement après un certains nombres de tentative de connexions échouées.
        • [^] # Re: J'ai quand même arrété SSH...

          Posté par . Évalué à 3.

          joli !


          telnet 200.2.143.1
          Trying 200.2.143.1...
          Connected to 200.2.143.1.
          Escape character is '^]'.
          Fedora Core release 4 (Stentz)
          Kernel 2.6.11-1.1369_FC4smp on an i686
          login:

          Only wimps use tape backup: real men just upload their important stuff on megaupload, and let the rest of the world ~~mirror~~ link to it

      • [^] # Re: J'ai quand même arrété SSH...

        Posté par . Évalué à 1.

        Sinon, avec deux lignes d'iptables:
        http://linuxgazette.net/108/odonovan.html

        module recent d'iptables.

        C'est pas mal, le mec va essayer 2/3 fois, puis il va se faire blacklister, ça limitera vachement le nombre de tentatives.

        C'est marrant, ça permet entre autre d'avoir des ports ouverts sans qu'un scan ne les détecte (ou alors faut être très patient).
  • # abuse @ fournisseur . com

    Posté par . Évalué à 2.

    faire un traceroute vers cette IP
    essayer de deviner quel est le fournisseur...

    et faire un message à l'adresse
    abuse@fournisseur.com

    avec copie des logs...
    • [^] # Re: abuse @ fournisseur . com

      Posté par . Évalué à 2.

      le traceroute depuis chez moi me donne :

      [...]
      21 * * * Délai d'attente de la demande dépassé.
      22 205 ms 201 ms 213 ms accesshaiti-143-1.accesshaiti.net [200.2.143.1]

      le fournisseur serait donc accesshaiti.net
    • [^] # Re: abuse @ fournisseur . com

      Posté par . Évalué à 5.

      essayer de deviner quel est le fournisseur...
      Pourquoi essayer ?

      Je te montre un autre usage du whois:

      $ whois 200.2.143.1

      [...]
      inetnum: 200.2.128/20
      status: allocated
      owner: ACCESS HAITI S.A.
      [...]
      nserver: NS1.ACCESSHAITI.NET

      Et ouala ...
    • [^] # Re: abuse @ fournisseur . com

      Posté par (page perso) . Évalué à 3.

      Marche pas souvent... En tout cas pour les spam. Pour les floods ssh, j'utilise denyhosts comme indiqué plus haut
      • [^] # Re: abuse @ fournisseur . com

        Posté par . Évalué à 1.

        Récemment, le windows familial s'est fait veroler par des saloperies de troyens, j'ai récupéré l'IP, contacter l'adresse @abuse, envoyé un gentil mail, mais pour l'instant rien de nouveau. Un FreeBSD hébergé en Russie, qui doit avoir pas mal de zombies à son service, et les gars ne font rien. C'est vraiment navrant...
  • # Pas de panique

    Posté par (page perso) . Évalué à 1.

    root@pollux:~# grep "Failed password" /var/log/auth.log.0 | grep sshd | wc -l
    12753

    Sur la seule journée d'hier, 12753 tentatives d'attaque par brute force sur le port 22. Faut juste s'assurer qu'on a un mot de passe fort et que très peu de users sont autorisés à se connecter en ssh.
    Je te conseille john (the ripper) pour tester tes mots de passe. S'il met plusieurs heures/jours à trouver tes mots de passe, ça veut dire que quelques dizaines de milliers de tentatives ne seront pas suffisantes pour entrer...
    • [^] # Re: Pas de panique

      Posté par (page perso) . Évalué à 2.

      Ou, mieux encore, refuser les connections SSH avec mot de passe et forcer l'utilisation de clés. Ensuite on regarde ces lignes de log différemment!

      La gelée de coings est une chose à ne pas avaler de travers.

    • [^] # Re: Pas de panique

      Posté par (page perso) . Évalué à 1.

      sachant que les mots de passes avec ssh, c'est presque obsolete, la mode est aux clés publiques/privées... Enfin perso, je suis encore au mot de passe, n'ayant pas toujours ma clé gpg sur moi
  • # Les chaleurs estivales favorables aux SK

    Posté par . Évalué à 1.

    De même, je reçois en ce moment de nombreuses tentatives de piratage (sur ssh / ftp / http). C'est les vacances, les gamins passent plus de temps sur le net :)
    L'autre jour, il y en a un qui a bruteforcé en ftp 10 000 pass sur le login "Administrator" (je tourne sous debian, avec vsftpd et il existe un compte anonymous ...). ça sens le script kiddy windowsien avec brutus ...

    Du coté préventif, je pense que je vais changer le port par defaut et virer l'anonymous login (dans quel monde on vis ...) et regarder du coté du filtrage.

    Mais après un resolveip / whois / traceroute, j'aime bien :
    /etc/init.d/vsftpd stop & echo "stop it now or I'll contact abuse@yourhost" | nc -l -p 21
    Mais il y en a qui on la tête dur, actuellement j'en ai un qui s'acharne sur mon ftp quelques heures par jour depuis 2 jours !

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.