Forum général.général Tentative d'intrusion depuis... localhost

Posté par  (site Web personnel) . Licence CC By‑SA.
Étiquettes :
5
31
oct.
2016

Ce n'est pas une question, c'est juste quelque chose que j'ai vu la semaine dernière en parcourant les logs de plusieurs de mes serveurs: fail2ban qui blackliste "localhost".

Après investigation, c'est une machine au Vietnam qui tente de forcer l'accès ssh par force brute et qui renvoie "localhost" lorsque fail2ban fait du reverse mapping. J'étais assez incrédule, mais en effet, un "host XXX.XXX.XXX.XXX" renvoie "localhost"… Je ne sais pas quelles sont les implications exactes au niveau sécurité (j’avais pensé à MySQL, mais comme "localhost" force la connexion par sockets, cela ne devrait pas avoir d'impact négatif), donc si certains ont des conseils quand à quelles mesures additionnelles prendre dans ce cas de figure, je suis preneur!

Mathias

  • # le vrai

    Posté par  (site Web personnel) . Évalué à 3. Dernière modification le 31/10/16 à 12:34.

    localhost via l'ip 127.0.0.1 sinon c'est un fake via une interface physique

    Un dns peut renvoyer n'importe quoi, mais pour ssh c'est pas sensé passer si le reverse correspond pas.

    Normalement fail2ban s'attache qu'aux interfaces physiques ?

    Plus de logs bien détaillés ?

    Système - Réseau - Sécurité Open Source

    • [^] # Re: le vrai

      Posté par  (site Web personnel) . Évalué à 2.

      C'est bien au niveau DNS que cela se passe (en fait, au niveau du réseau dont vient l'attaque).

      Comme mon ssh n'accepte que l’authentification par clefs, rien ne passe de toutes façons. De même, fail2ban est configuré pour n'utiliser la résolution DNS que pour ses logs, donc pas de risque non plus. Et le fait qu'il y ait un problème est correctement identifié, comme on le voit dans les logs:

      dans auth.log:
      Oct 27 22:19:03 XXX sshd[11113]: Address 117.2.125.216 maps to localhost, but this does not map back to the address - POSSIBLE BREAK-IN ATTEMPT!

      dans fail2ban.log:
      2016-10-28 06:21:59,669 fail2ban.filter : WARNING Determined IP using DNS Lookup: localhost = ['127.0.0.1', '127.0.0.1']

      Mathias

    • [^] # Re: le vrai

      Posté par  . Évalué à 2.

      L'option UseDNS est valorisée à "no" par défaut depuis OpenSSH 6.8 :

      OpenSSH

      Potentially-incompatible changes

      • sshd(8): UseDNS now defaults to 'no'. Configurations that match against the client host name (via sshd_config or authorized_keys) may need to re-enable it or convert to matching against addresses.
      • [^] # Re: le vrai

        Posté par  (site Web personnel) . Évalué à 3.

        +1, ça vaut le coup de le désactiver, ça coute cher une résolution dns, qui plus est pas fiable.

        Système - Réseau - Sécurité Open Source

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.