Depuis deux trois jours , mon serveur se fait chatouiller par des blaireaux virtuels. J’ai , pour le moment , repéré deux adresses ip dont une avec domaine :
A chaque fois le(s) blaireau(x) tente de se connecter avec toutes une batterie de login et probablement une liste de mots de passes.
Pensez-vous , sachant que seul le login root me permet d’accèder à l’ensemble du système , qu’il y ai un risque que l’un de ces crétins puissent un jour me niquer le serveur ?
J’aimerai bien leur rendre la pareil , avec , par exemple , un envoie du style "j’ai prévenue la police et leur ai donné l’adresse XXXXXXXXX " . C’est possible avec juste leur adresse ip comme info ?
[quote=“M_le_maudit, post:1, topic: 26533”][…]
A chaque fois le(s) blaireau(x) tente de se connecter avec toutes une batterie de login et probablement une liste de mots de passes.
[…]
Moi aussi je veux jouer.[/quote]
Pour le mot de passe, suffit de mettre un mot de passe avec plein de caracteres ( genre 15-20 ) contenant des caracteres speciaux, et ca devrai aller, surtout qu’apparemment ils utilisent la methode brute force…
Et si tu veux jouer ehben, t’as qu’a prévenir réellement les flics ! (Bon apres si y’a des trucs compromettant sur toi c’est pas top evidemment)
Une machine virtuelle, avec un soft comme VMWare, comme ça tu peux faire un « virtual honeypot » et les regarder s’amuser sans risquer de te faire pourrir ton système. Mais si tu veux vraiment jouer, je peux te recommander un privé qui se fera une joie d’aller leur casser les doigts.
Attention, la technique du honeypot (virtuel ou non) est totalement illegal en france.
De la meme maniere, repondre activement a une attaque (ie repondre a une attaque PAR une attaque) est illegal aussi.
On a juste le droit de logger les attaques et d’appeler les flics. Si c’est veritablement considere comme une attaque dangereuse.
LoneWolf
Pas le droit de taper sur les script kiddies
Pas le droit de faire justice soi-même surtout, et ça c’est plutôt bien je pense. (ça permets d’éviter les « sépa mou ké commencé M’sieur l’agent » pour commencer.)
Surtout que c’est des machines déjà infectées qui servent à réaliser les « attaques ». Le meilleur moyen de se protéger c’est :
d’interdire le login root en SSH (c’est vraiment la base)
d’interdire le login SSH des comptes n’ayant pas besoin de se loger en SSH (généralement c’est fait par defaut pour des comptes apache, mysql, postgres et co), pour les autres, tu peux utiliser nologin comme shell.
de bloquer l’accès au port SSH des IP non européennes directement sur le firewall.
d’utiliser des strong passwords avec des caractères complexes si possible.
Si tu as du temps à perdre, tu peux tjs balancer des mails à l’adresse abuse du fournisseur/hébergeur, mais quand c’est des IP asiatiques, c’est même pas la peine.
Dans ce cas, je pense que ce serait sage que tu places ton serveur dans ton réseau local avec le minimum de services visibles depuis l’extérieur. Si tu as vraiment besoin d’un login SSH, fais tourner ton sshd sur un port non standard (genre 22675). Il y’a deja eu des tonnes de failles OpenSSH par le passé et faire tourner une box sur le net sans protection et sans savoir ce que tu fais, c’est vraiment chercher des soucis.
Pour le honeypot, je savais pas que c’était pas légal (j’aimerais d’ailleurs bien savoir pourquoi, comment … les références, tout ca).
Pour savoir qui il est, fais un whois sur l’IP. http://ripe.net/fcgi-bin/whois
Si c’est une adresse dépendant du RIPE (europe), ca te renverras le fournisseur d’acces, et les contacts en cas d’abus (abuse@…).
Sinon, ca te renverras vers l’organisme manageant la tranche d’IP, qui te permetra d’avoir l’info recherchée.
edit: Concernant la legalite des honey pot, j’avais lu ca dans un MISC (je sais plus lequel). La, je prend le train pour chez moi (yeah) et je suis en vacances demain soir, j’essaye de penser a retrouver le stuff
Lone > document interressant, mais la question de la légalité reste floue.
Ce qui est clair, c’est que d’une part : tu n’as pas le droit de répondre.
et d’autre : les infos accumulés par l’honey pot n’ont pas de valeur de preuve seules.
Il n’est pas illegal d’utiliser un honeypot pour observer, il est illegal de se servir des informations recueillies.
Je rejoints ce que dit Unreal, change le port d’écoute de ton SSH et n’authorise que certaines comptes avec de bon passwords à y accèder.
Il y a de grandes chances que ce ne soit de toute façon pas une attaque ciblée mais des robots. Et il y a également beaucoup de chances que ces tentatives de connexion se fasses par des zombies ou via des attaques par rebond. Identifier la source ne servira certainement pas à grand chose.
[quote=« M_le_maudit, post:9, topic: 26533 »]Qui parle de se faire justice ?
Je cherche pas l’adresse postal du mec pour aller lui casser la gueule hein !
Je veux juste lui flanquer les miquettes en lui montrant bien que je sais qui il est.[/quote]
Je réagissais aux propos de LoneWolf, c’est d’ailleurs bien lui que j’ai quoté. :
[quote=« LoneWolf, post:9, topic: 26533 »]De la meme maniere, repondre activement a une attaque (ie repondre a une attaque PAR une attaque) est illegal aussi.
On a juste le droit de logger les attaques et d’appeler les flics. Si c’est veritablement considere comme une attaque dangereuse.
LoneWolf
Pas le droit de taper sur les script kiddies dry.gif[/quote]
Voilà, tu demandes qui parle de se faire justice => LoneWolf en parlait (en précisant bien que c’est illégal) et c’est à ça que j’ai réagi.
J’espère que c’est plus clair comme ça sinon c’est pas très important non plus
Je pense que c’est interdit de la meme maniere que une madame flic qui se fait passer pour une pute et te propose une passe rapide pour 20 euros c’est interdit aussi. C’est pas accepté en France parcequ’on peut argumenter que tu aurais pas fait l’acte illegal si le « flic » t’y avais pas incité Ca reste discutable que ca s’applique aux honeypots mais bon…