Journal Aujourd'hui en consultant mes logs (rien de spécial, ça m'a fait rire)

Posté par (page perso) . Licence CC by-sa
Tags : aucun
13
28
fév.
2013

Bonjour,

Aujourd'hui en consultant mes logs, je trouve énormément de tentatives de connexion à ssh sur mon serveur (et pas que d'aujourd'hui en fait). Oh non, ça n'est pas étrange, par contre le fait qu'une « société » nommée « topsec beijing security aille me faire des tentatives de connexion m'interpelle.

Sur https://121.11.153.242:443, certif autosigné, on trouve une page avec ce qui ressemble à une demande de login et mot de passe.

Bon, je veux bien que nos attaquants aient une imagination débordante pour tenter de masquer son petit bordel (il y en a même un qui a mit son vieil apache 2.2.9 sur le port 81 et qui demande une authentification sur toute la racine) mais, sérieusement, ils n'ont pas mieux à faire que de scanner une liste d'utilisateur merdiques quand ça répond « Permission denied (publickey). » à tous les coups ?

Serait-ce une tentative de récolte d'informations confidentielles à des fins commerciales ?
Serait-ce une cyber-attaque d'un bricoleur du dimanche aux plans cyniques ?
Serait-ce une tentative d'espionnage du gouvernement Chinois sur les petites affaires des Français ?
Serait-ce un artiste en mal d'expression qui à tout hazard, pensait que les serveur pouvaient servir de relais à des noms comme « virus », « testkunde » ou encore « sekretariat » (manifestement, cette personne aime la bière et les donzelles) ?

Soit dit en passant, ne serait-il pas plus intéressant de tenter un accès par les serveurs mail ou web ? Je n'ai rien vu passer de ce côté (du moins, pas les mêmes et mêmes les autres ne sont pas très persévérants).

Un petit journal issu d'une incompréhension, mais surtout d'une bonne tranche de rire à la vue de tout ceci.

  • # Tentatives automatisées

    Posté par (page perso) . Évalué à  4 .

    Ils tentent de façon automatisée toutes les adresses IP possibles jusqu'à en trouver une qui puisse être infiltrée (faille logicielle ou chaise-clavier). Le but est d'infiltrer de grosses structures, avoir de la chance en trouvant le gros lot ou bien essayer un effet papillon (virus dans les mails d'un serveur, qui va infecter les clés usb, etc) sont deux stratégies qui peuvent être regroupées en une tâche automatique : tester les faiblesses de toutes les machines connectées au réseau.

    Ça ne leur coûte rien de retenter sur ton serveur jusqu'à ce qu'ils puissent exploiter une faille logicielle ou chaise-clavier.

    Commentaire sous licence LPRAB - http://sam.zoy.org/lprab/

  • # Tu est tombé dans le panneau.

    Posté par . Évalué à  10 .

    C'est évident que c'est une diversion. Pendant que tu moulais sur LinuxFR pour raconter tout ça, ton système à été plonké, rootkité et les traces ont été supprimées par des vrais pirates chinois communistes du FBI.

  • # Sur le serveur de la maison aussi

    Posté par . Évalué à  9 .

    Il y avait une série de log encombrant, aucune chance qu'ils rentre (pas de root en directe, pas de login devinable, et je ne parle pas des passwords), mais les logs se sont bien éclairci après un fail2ban installé et configuré pour bloquer à partir de 10 essais (bah oui si on veut un mot de passe un minimum sérieux, trois essais c'est toujours pas assez quand on est en lutte)

    C'est très courant ce genre de truc. Le plus souvent c'est des vers, tu peux faire un whois, récupérer le mail du abuse et de l'admin et y envoyer un mail en anglais courtois, expliquant ce que tu as vu passer dans tes logs.

    Soit la boite s'est faite infecter, et tu as une petite chance que le mail soit lu, soit c'est délibéré et ça n'aura servit à rien, mais en tant qu'admin responsable…

    Il ne faut pas décorner les boeufs avant d'avoir semé le vent

    • [^] # Re: Sur le serveur de la maison aussi

      Posté par (page perso) . Évalué à  1 .

      Fail2ban, intéressant, merci :)

      Love, bépo.

    • [^] # Re: Sur le serveur de la maison aussi

      Posté par (page perso) . Évalué à  2 . Dernière modification : le 01/03/13 à 13:41

      +1

      Ce sont des scripts qui tournent betement. Rien d'inquietant tant que tu n'as pas de mot de passe bateau (root/root, root/toor, etc)
      Le plus chiant est que ca encombre les logs et risque de noyer de vrais logs inquietants. Sans compter le risque de saturation du disque si t'es un peu juste et/ou que la rotation est mal calibree.

      Perso : un fail2ban + deplacement du service SSH sur un autre port + utilisation de clés.
      Radical

      • [^] # Re: Sur le serveur de la maison aussi

        Posté par . Évalué à  4 .

        J'ai un gros doute sur l'utilité du déplacement du port ssh. Surtout depuis que je me suis rendu compte qui était facile de retrouver le port en question : la preuve j'y suis arrivé sur mon serveur.

        Je préfère autoriser juste une adresse ip pour l’accès au port 22 et knockd pour une utilisation ponctuelle avec une autre adresse.

    • [^] # Re: Sur le serveur de la maison aussi

      Posté par (page perso) . Évalué à  8 .

      Si la boite est un tant soit peu liée au gouvernement chinois, tu auras le très grand classique (en supposant que quelqu'un comprenne l'Anglais et réponde):

      "Bonjour,

      Nous avons bien reçu votre message nous notifiant que l'un de nos serveurs émet des requêtes de connexions vers le vôtre et tente d'infiltrer votre système.

      Nos serveurs sont totalement sécurisés et ne peuvent émettre de requêtes indésirables sur d'autres serveurs. Nous n'avons pas l'objectif ni même le désir de prendre le contrôle d'un quelconque ordinateur qui n'appartiendrait pas à notre entreprise.

      Notre entreprise ne se livre à aucune activité illégale ou moralement répréhensible à l'égard d'aucun autre serveur d'entreprise ou de particulier, y compris donc votre serveur.

      Le problème se situe donc de toute évidence de votre côté.

      Bien cordialement!
      L'administrateur réseau"

  • # Hmmm... analyse incomplète

    Posté par (page perso) . Évalué à  9 .

    Qui te dit qu'il s'agit de la société en question ?
    En effet, quand je regarde sur google ce qui se dit sur la société en question, on m'dit que c'est la plus grosse société de sécu de Chine… soit.
    Quand je fais un whois sur l'adresse IP en question:

    route: 121.8.0.0/13
    descr: From Guangdong Network of ChinaTelecom

    Donc il s'agit d'une IP attribuée par un FAI. Les grosses entreprises ont généralement leurs propres blocs d'IP et le nom de la boite y est généralement associé.
    Premier élément qui pousse à croire qu'il ne s'agit pas réellement de la société en question.

    Concernant le Apache 2.2.9 sur le port 81, j'opterai pour un bon vieux Honeypot.

    Cet autre élément en main, je pencherai plus pour le scénario suivant: il s'agit bien d'une boite de sécu. Ils ont une box à bordel qu'il laisse sur cette IP publique de FAI public pour faire "joujou": honeypot pour récupérer des nouvelles méthodologies d'exploitation (c'est essentiellement à ça que ça sert un honeypot …). De la même façon, il "teste" des scanneurs réseaux (know your enemy qu'on dit …).

    Concernant la liste des utilisateurs "probés", il s'agit de liste toute faite.
    Pour ton hypothèse de passer par le mail ou le web, ce n'est pas réellement "intéressant" car limitant.
    Réussir à trouver à coup de bruteforce un compte SSH, c'est la porte ouverte vers:

    _ La mise en place de bot à SPAM.
    _ La mise en place d'HTTPd de phishing.
    _ La mise en place de proxy HTTP/SOCKS.

    Et j'en oublie probablement.
    Toutefois si tu jettes un oeil aux logs de ton HTTPd, tu trouveras surement des tentatives de connexions vers moultes URL qui n'existent pas sur ton serveur: du /wp-admin/ (admin wordpress), etc…
    Tu constateras également les mêmes tentatives de brute force sur ton IMAPd ou POP3d. Bref, tout est bon dans le cochon.

    En tout cas sois rassuré, ce n'est ni orienté vers toi en particulier, ni fait manuellement. Il s'agit d'un bon gros bot bien crado qui scanne, qui scanne …

    • [^] # Re: Hmmm... analyse incomplète

      Posté par (page perso) . Évalué à  2 . Dernière modification : le 01/03/13 à 12:00

      Pour l'entreprise, j'ai bien pris soin de mettre tout ce beau monde entre guillemets, justement pour souligner le fait que ce n'en est pas forcément une.

      D'autre part, à moins qu'ils aient une armée de petits Chinois bruteforceurs, je ne crois pas non plus que tout ceci soit spécifiquement pour ma pomme :)

      J'aurai au moins appris un truc : le pot de miel :)

      Aller, un plussage.

      Love, bépo.

  • # À propos

    Posté par (page perso) . Évalué à  6 .

    Est-il aisé de récupérer le nom d'hôte d'une machine linux ? Est-ce que cette information est publique ?

    Ces questions car souvent les distributions attribuent un nom d'hôte dérivé du nom du premier utilisateur — souvent celui qui a des possibilités d'accès aux droits d'administration — et que je m'interroge sur les risques de cette pratique face à des attaques telle que celle décrite ici.

    • [^] # Re: À propos

      Posté par (page perso) . Évalué à  3 .

      Tout dépend des services installés par défaut et de leurs configuration (donc pour faire bref, tout dépend de ta distrib).

      Par exemple, un postfix sur une installation debian toute fraîche laissera, à priori, fuiter cette information.

      • [^] # Re: À propos

        Posté par (page perso) . Évalué à  4 .

        Auto correction/nuançage : un apt-get install postfix sur la bubuntu du boulot me demande le "Nom de courrier" (aka $mailname). Par défaut celui-ci est bien le nom de ma machine tel que configuré à l'installation.
        Toutefois, l'utilisateur éclairé changera ce nom lors de l'installation… du moins je l'espère ;)

      • [^] # Re: À propos

        Posté par (page perso) . Évalué à  3 .

        ssh et bind9 sont très bavards aussi par défaut.

        Prochainement, je vous proposerais peut-être un commentaire constructif.

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.