Journal Mais quels sont ces polonais qui ssh sur vos têtes ?

Posté par (page perso) .
Tags : aucun
0
6
juil.
2005
Salut journal,
Dans la fedora 4, il y a auditd, qui m'envoie tous les jours un mail avec les résumés de la machine (logins ssh entre autres). Il y a deux jours il s'est averé qu'un polonais attaquait ma machine en essayant de se loguer d'abord en root (ce qui est désactivé dans ssh.conf), puis avec d'autres pseudos bidons. Il faut dire que mon IP est fixe, ce qui lui facilite la tâche. J'ai donc dit à iptables de le dropifier. Et voilà qu'aujourd'hui il en revient un autre ! Tous chez netia, apparemment FAI polonais.
Je vais pas non plus pourrir mes règles iptables, par contre je peux bloquer le sous réseau complet (j'ai besoin de l'accès ssh, mais je vais rarement en pologne).
Vous aussi vous subissez l'attaque des polonais ?
  • # Lancer tout le temps ssh ?

    Posté par . Évalué à -7.

    Pourquoi laisses-tu continuellement ton sshd ouvert ?
    N'est-ce pas mieux de le lancer uniquement quand tu sais qu'il sera nécessaire (vu qu'en plus il semblerait que ce soit toi qui l'utiliseras...) ?
    • [^] # Re: Lancer tout le temps ssh ?

      Posté par . Évalué à 4.

      Géniale comme idée !!!

      ssh, c'est pas le truc qui permet de se connecter a distance?

      Quel est donc l'intérêt du ssh si je dois me connecter sur la machine pour pouvoir ensuite me connecter à distance?

      Et s'il doit se connecter depuis un autre site?
      • [^] # Re: Lancer tout le temps ssh ?

        Posté par . Évalué à 4.

        J'ai simplement suggéré le fait qu'un ssh lancé 24h/24 ne soit pas forcément utile. Si il reste en France il pourrait par exemple ne le lancer que pendant les heures "normales" (exit les périodes de dodo), et de plus les planificateurs de tâches permettent de lancer ssh quand c'est nécessaire, en planifiant à l'avance donc.
        Mais c'est vrai ça ne supprimera pas les attaques.
      • [^] # Re: Lancer tout le temps ssh ?

        Posté par . Évalué à 4.

        Il y a plusieurs solutions pour activer un service à distance, par une interface web est une possibilité, sinon je me souviens d'un démon qui peut lancer des actions en fonction d'une séquence de signaux reçus sur l'interface réseau (genre ping 3 fois, puis connection sur port x, ping 2 fois => lancement ssh), mais impossible de remettre la main sur le lien.
        • [^] # Re: Lancer tout le temps ssh ?

          Posté par . Évalué à 5.

        • [^] # Re: Lancer tout le temps ssh ?

          Posté par . Évalué à 1.

          J'ai fais pas mal d'entreprises, j'ai rarement eu le droit de faire des pings vers internet, ni d'attaquer des ports non identifiés.

          Ca limite l'intérêt de la chose.
        • [^] # Re: Lancer tout le temps ssh ?

          Posté par . Évalué à 0.

          Dans le même ordre d'idée, on peut faire encore plus sympa (enfin, je trouve):

          - Le client envoie un paquet TCP SYN qui contient des valeurs particulières sur le port 80 du serveur.

          - En recevant ce paquet particulier, le serveur lance sshd sur un port précis.

          - Le client lance une session ssh sur ce port précis.

          - A la fin de la session, le serveur arrête sshd.

          Avantages:
          - le port 22 n'est pas en écoute sur le serveur, et sans connaître les caractéristiques du paquet qui "réveille" sshd, impossible de se douter que l'on peut se connecter au serveur en ssh.

          - c'est plus simple que "ping 3 fois, connection sur port x, ping 2 fois, sauter sur un pied, etc"

          La bonne nouvelle est qu'on peut faire ça tout simplement avec un petit script en perl, tout est expliqué ici:
          http://www.hsc.fr/ressources/breves/secretssh.html.fr(...)

          L'auteur du journal éviterait ainsi de chercher à "dropifier" des réseaux entiers et de trembler à l'idée que son sshd se fait harceler sans arrêt.
          • [^] # Re: Lancer tout le temps ssh ?

            Posté par . Évalué à 0.

            oups, j'ai posté sans lire les autres commentaires... les ports knockers peuvent se paramétrer simplement pour réagir à un type de paquet donné et pas forcément à une séquence plus lourde (ce que je pensais). Oubliez donc mon message.
      • [^] # Re: Lancer tout le temps ssh ?

        Posté par . Évalué à 2.

        Et les port-knockers ils servent à quoi ?
    • [^] # Re: Lancer tout le temps ssh ?

      Posté par . Évalué à 4.

      Même en supposant qu'il le lance uniquement quand "c'est nécessaire", ça ne changerait rien à son problème : il aurait probablement toujours ces tentatives de connection dans ces logs :)

      « Je vous présente les moines Shaolin : ils recherchent la Tranquillité de l'Esprit et la Paix de l'Âme à travers le Meurtre à Main Nue »

    • [^] # Re: Lancer tout le temps ssh ?

      Posté par . Évalué à 3.

      Une bonne maniere de lancer sshd seulement lorsque c'est nécessaire est d'utiliser (par exemple) un port knocker ( http://www.iv2-technologies.com/~rbidou/(...) ).
      Tu actives le serveur sur ta machine distante et tu lui indiques quelle devra etre la "sequence de démarrage" du service que tu souhaites lancer (par exemple, 3 paquets TCP venant d'une IP particuliere et avec des numeros de séquence particuliers..). Et pour ne pas te prendre la tete, il y a un client qui te permet de générer au poil ces paquets.
      Ca peut te permettre de ne lancer sshd que lorsque c'est nécessaire.

      Cependant si tu souhaites éviter toutes ses "attaques", tu peux deja faire en sorte de n'accepter que les connexions par clé publique... Et la je peux te dire que tu vas dégager beaucoup de monde.
  • # Et aussi...

    Posté par . Évalué à 5.

    espagnols, brésiliens, finlandais, coréens, chinois, japonais, américains, français, italiens...

    C'est un vers, tu risques de voir souvent ce genre de scan dans tes logs.
  • # Virus?

    Posté par (page perso) . Évalué à 4.

    Un autre lecteur de linuxfr avait reporté un problème similaire, il en ressortait que certains virus windows tentent apparemment des attaques du genre. Sans conséquence évidemment si ton serveur est un minimum sécurisé.

    http://linuxfr.org/~dark_star/18379.html(...)
  • # Port Knocking ?

    Posté par . Évalué à 5.

    À mon avis, vu que je suppose que tu ne vas pas te connecter de n'importe où, le mieux serait de n'autoriser que les hôtes depuis lesquels tu peux te connecter à ta machine, en supposant qu'ils ont une IP fixe. Bon c'est sûr que ce n'est pas une solution si tu prévois de te connecter depuis des machines avec IP dynamiques ...

    Sinon il existe la solution du port knocking [1]. Certains la considèrent comme une solution envisageable, d'autres l'étiquettent d'abhération : je pense que le mieux est te laisser juger cette solution par toi-même.

    [1] http://www.portknocking.org/(...)

    « Je vous présente les moines Shaolin : ils recherchent la Tranquillité de l'Esprit et la Paix de l'Âme à travers le Meurtre à Main Nue »

    • [^] # Re: Port Knocking ?

      Posté par . Évalué à 5.

      Il n'y a jamais eu de "h" à "aberration" ! Ni même d'accent ! C'est étrange cette volonté de vouloir sophistiquer ce terme. En revanche, il y a toujours deux "r".
      • [^] # Re: Port Knocking ?

        Posté par . Évalué à 2.

        Il ne s'agit absolument pas d'une volonté à vouloir "sophistiquer" ce mot : si je savais que ça s'écrivait "aberration", je l'aurais évidemment correctement orthographié. Bizarrement, il semblerait que ce soit une faute d'orthographe assez commune [1]. Merci pour cette correction, je le saurai pour les autres fois et ainsi je pourrai éviter cette abhération aberration orthographique :)

        http://www.googlefight.com/index.php?lang=en_GB&word1=abh%E9rat(...)

        « Je vous présente les moines Shaolin : ils recherchent la Tranquillité de l'Esprit et la Paix de l'Âme à travers le Meurtre à Main Nue »

        • [^] # Re: Port Knocking ?

          Posté par . Évalué à 2.

          Peut-être une confusion avec "abhorrer" ?
          • [^] # Re: Port Knocking ?

            Posté par . Évalué à 2.

            Si seulement je connaissais ce mot, je te répondrais volontier que c'est le cas, mais le pire c'est que je ne le le connais pas :) Ceci dit, une petite recherche sur le Net m'instruira.

            « Je vous présente les moines Shaolin : ils recherchent la Tranquillité de l'Esprit et la Paix de l'Âme à travers le Meurtre à Main Nue »

            • [^] # Re: Port Knocking ?

              Posté par (page perso) . Évalué à 2.

              trouvé dans Le Trésor de la Langue Française Informatisé ( http://atilf.atilf.fr(...) )

              ABHORRER, verbe trans.
              Emploi trans. Avoir pour une personne ou une chose une antipathie telle qu'on ne saurait la voir ou y penser sans éprouver un frémissement et un mouvement tendant à s'en éloigner ou à l'éloigner.
            • [^] # Re: Port Knocking ?

              Posté par . Évalué à 4.

              De quoi ??? Bon, pour ta peine tu me copiera 100 fois le texte suivant pour apprendre l'utilisation convenable du verbe "abhorrer":

              Ondine scrute l'océan où ça merdoit (pardon), où son père doit chasser le congre ou le bar.
              Le congre que le bar abhorre ou le bar que le congre hait.
              Car Ondine à la dalle et la mère à les crocs.
              Selon qu'il aura pris la barque à bars ou la barque à congres,
              le père devra remplir la barque à bars à ras bord de bars ou
              la barque à congres à ras bord de congres.
              Or, il n'a pas pris la barque à congres ; Il a pris la barque à bars.
              A l'arrière plan, le spectateur voit, au flanc de la montagne rouge feu, moutonner un maquis vert.
              Il y serpente des chemins rares qui débouchent soudain sur des criques sauvages où nul imbécile, cintré dans sa bouée Snoopy ne vient jamais ternir de son ombre grasse et populacière, l'irréelle clarté des fonds marins ordorés, où s'insinue le congre que donc, le bar abhorre.

              Oui : le bars abhorre le congre par atavisme. Le congre est barivore. Et donc le bar l'abhorre.
              Le bar est fermé aux congres du même fait que le palais des congres est ouvert au bar.

              PIERRE DESPROGES
          • [^] # Re: Port Knocking ?

            Posté par . Évalué à 3.

            on utilise le mot "contamination", comme pour "dilemme" qu'on écrit "dilemne" à cause d'"indemne"
  • # Change de port par défaut!!

    Posté par . Évalué à 5.

    Ces tentatives d'attaques étant des automatismes, ils ne prennent pas le temps de dester tous les ports mais seulement ceux par défaut.

    Voici une solution simple et efficace pour ne plus avoir ces petits désagréments (surtout chiants pour les logs).

    Plutôt que d'utiliser le port 22 passe au port 2222 par exemple.

    mes 2 roupies
    • [^] # Re: Change de port par défaut!!

      Posté par . Évalué à 2.

      /dester/tester/


      Bon avant toute critique, il est vrai que ceci n'est pas applicable pour tous les protocoles. Si tu es le seul à te connecter sur le serveur c'est cool, tu fais ce que tu veux, mais dès que des personnes extérieurs doivent s'y connecter ceci complique les choses (c'est d'ailleurs pour cette dernière raison que les ports par défaut existent).

      .... mes 2 yens
    • [^] # Re: Change de port par défaut!!

      Posté par (page perso) . Évalué à 1.

      Je vais finir avec ça, mais ça me gonfle un peu... Cela dit c'est une solution efficace. Par contre, regardant le message plus haut, je ne comprends pas pourquoi des virus dos font des attaques ssh...
      Merci pour toutes vos réponses :-)
    • [^] # Re: Change de port par défaut!!

      Posté par . Évalué à 2.

      C'est une solution mais ce n'est pas toujours applicable : certains bloquent la sortie pour d'autres ports que 22, 23, 25 et 80 (notamment un certain département d'informatique de ma connaissance) donc walou pour se connecter chez soi en 2222 à partir de ces réseaux.
  • # Est-ce.. est-ce hache?

    Posté par (page perso) . Évalué à 10.

    Ce sont des anciens plombiers qui cherchent à se reconvertir.

    La gelée de coings est une chose à ne pas avaler de travers.

    • [^] # Re: Est-ce.. est-ce hache?

      Posté par . Évalué à -2.

      merci beaucoup pour cette "plaisanterie" stéréotypée, pas drôle, et insultante envers mon peuple.
      • [^] # Re: Est-ce.. est-ce hache?

        Posté par . Évalué à 2.

        Vu la publicité que ton peuple fait actuellement en surmédiatisant le mannequin déguisé en plombier pour ridiculiser les anti-TCE, notre peuple avait cru comprendre que ton peuple avait beaucoup d'humour. Parce que pour faire dans l'autodérision en entretenant un faux stéréotype, il faut avoir une sacré tranche d'humour, en tout cas plus que toi :)

        « Je vous présente les moines Shaolin : ils recherchent la Tranquillité de l'Esprit et la Paix de l'Âme à travers le Meurtre à Main Nue »

  • # Et ?

    Posté par . Évalué à -1.

    Je viens de lire les réponses ci dessus et je les trouvent toute... déplacées !

    Le problème :

    Quelqu'un, quelque chose en réalité, cherche à exploiter des couples login/mot de passe faibles sur toutes les machines de la planète. Alors de deux choses l'une. Ou ta machine est vulnérable et dans ce cas la changer de port ou faire du port knocking, qui sert a rien mais est à la mode, ne changera rien. Au mieux tu réduis la fenêtre de temps ou tu es vulnérable. Super ! La solution ne serait elle pas simplement de faire que ta machine ne soit pas vulnérable ? [1]

    Si ta machine est pas vulnérable qu'est ce que cela peut bien te faire ? Porte plainte, harcèle abuse mais changer ton démon de port ne reglera rien.

    C'est aussi bête que de mettre son apache sur le 34590 par ce que y'a des méchants vers qui cherchent des failles IIS ou ton smtp en openrelay sur le 7975 pour éviter les spammeurs. Mauvaise réponse à la question...

    [1] Mot de passe corrects c'est aussi basique que cela. Chaque tentative correspond à 3 ou 4 mot de passe par login ! Faudrait *vraiment* pas avoir de bol

    Note: Si la sécurité de ta machine était importante tu aurais constaté que ca a commencé à se propager réellement y'a plus de 12 mois...
    • [^] # Oui et non

      Posté par . Évalué à 2.

      Le changement de port est un changement rapide et simple pour quiconque souhaite se protèger (un minimum) contre des attaques automatisés.

      Quand aux correctifs et autres patchs, OUI il faut les appliquer en premier lieu et régulièrement, mais rien ne te garantie que les vers et autres attaques utilisent des failles connues et corrigés!

      Oui je sais que par moment c'est une simple tentative de login/mot de passe à la con, mais rien ne te garantie que demain ne va pas sortir une faille et que quelques script kiddies vont l'utiliser dans leurs vers.

      Donc ne pas utiliser les ports par défaut pour des applications sensibles comme un serveur d'administration a distance me semble être un complément nécessaire.
      De plus tu ne seras pas impacté par des lignes de logs à la con.

      Mais oui comme je le disais dans un autre commentaire, ce genre de technique ne fonctionne pas pour tout! Dès lors que les services ont des accés publiques ce genre de technique n'est plus applicable!

    • [^] # Re: Et ?

      Posté par . Évalué à 3.

      Le probleme d'abuse c'est que je doute de son efficacite, sinon ca serait une solution miracle pour stoper les spams...
    • [^] # Re: Et ?

      Posté par . Évalué à 3.

      > Si ta machine est pas vulnérable qu'est ce que cela peut bien te faire ?

      Le problème c'est le "si" et justement « la sécurité n'est pas un état, c'est un processus », « mieux vaut prévenir que guérir », « prudence est mère de sureté », « tant va l'autruche à l'eau qu'à la fin elle se lasse », ...

      Par ailleurs, comme il l'a écrit dans son journal, il reçoit des nimayes réguliers du démon AuditD et il a constaté des "anomalies" qu'il a tout simplement décidé d'investir et éventuellement, de résoudre (ne serait-ce que pour épurer le contenu de ces messages par exemple). Personnellement, je trouve que la démarche est parfaitement logique et saine, d'autant que c'est toujours enrichissant de chercher à comprendre.

      « Je vous présente les moines Shaolin : ils recherchent la Tranquillité de l'Esprit et la Paix de l'Âme à travers le Meurtre à Main Nue »

  • # ipt_recent

    Posté par . Évalué à 6.

    J'utilise le module recent qui me permet de virer les personnes se connectant plus de 3 fois dans la minute à mon SSH.
    C'est efficace, mais attention de ne pas se faire prendre à son propre jeu.
    Pour éviter de se bannir soit même, on peut utiliser le port knocking pour se débannir ou créer une table des IP bannies que l'on vide toutes les heures, mais bon, ça ne me dérange pas plus que ça pour l'instant.

    Voilà les lignes qui vont bien dans mon rc.firewall pour cette technique:
    # Utilisation du module ipt_recent pour les connexions SSH
    $IPTABLES -N SSH
    $IPTABLES -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 60 --hitcount 3 --rttl --name SSH -j LOG --log-prefix "iptables: Client banned: " # Log banned client.
    $IPTABLES -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 60 --hitcount 3 --rttl --name SSH -j DROP # Drop if hitcount reached.
    $IPTABLES -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --set --name SSH -j ACCEPT # Accept if hitcount is not reached. (Default)
    • [^] # Re: ipt_recent

      Posté par . Évalué à 1.

      mouai, tes tables ssh doivent vite se remplir....
      • [^] # Re: ipt_recent

        Posté par . Évalué à 2.

        Pas vraiment, sauf si tu as une attaque massive, et tu peux les purger régulièrement puisque dans ce cas, elle n'est pas d'une grande utilité.
        Je vais faire des tests pour voir ce que ça peut donner...
        • [^] # Re: ipt_recent

          Posté par . Évalué à 5.

          Vu que j'ai constate que sur un port ferme, les tentatives se limitaient a 2 essais en inversant tes regles ca pourrait etre pas mal : les attaquants voient un truc fermé, et tu n'a pas de pb de blocage (surtout si tu te connecte plusieur fois en ssh).
    • [^] # Re: ipt_recent

      Posté par (page perso) . Évalué à 1.

      Cette solution me convient nickel, merci beaucoup.
    • [^] # Re: ipt_recent

      Posté par . Évalué à 1.

      C'est une solution qui me plait beaucoup !

      Je plusse.

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.