Attaques répétées sur mon serveur

Bonjour,

Depuis deux trois jours , mon serveur se fait chatouiller par des blaireaux virtuels. J’ai , pour le moment , repéré deux adresses ip dont une avec domaine :

adsl-68-124-157-164.dsl.irvnca.pacbell.net (68.124.157.164)

et

211.172.244.173

A chaque fois le(s) blaireau(x) tente de se connecter avec toutes une batterie de login et probablement une liste de mots de passes.

Pensez-vous , sachant que seul le login root me permet d’accèder à l’ensemble du système , qu’il y ai un risque que l’un de ces crétins puissent un jour me niquer le serveur ?

J’aimerai bien leur rendre la pareil , avec , par exemple , un envoie du style "j’ai prévenue la police et leur ai donné l’adresse XXXXXXXXX " . C’est possible avec juste leur adresse ip comme info ?

Moi aussi je veux jouer.

Le meilleur moyen, si tu veux jouer, c’est d’installer une VM et de les laisser rentrer, en observant/loggant tout ce qu’ils font…

[quote=“M_le_maudit, post:1, topic: 26533”][…]
A chaque fois le(s) blaireau(x) tente de se connecter avec toutes une batterie de login et probablement une liste de mots de passes.
[…]
Moi aussi je veux jouer.[/quote]

Pour le mot de passe, suffit de mettre un mot de passe avec plein de caracteres ( genre 15-20 ) contenant des caracteres speciaux, et ca devrai aller, surtout qu’apparemment ils utilisent la methode brute force…

Et si tu veux jouer ehben, t’as qu’a prévenir réellement les flics ! (Bon apres si y’a des trucs compromettant sur toi c’est pas top evidemment)

Gné VM ?

Une machine virtuelle, avec un soft comme VMWare, comme ça tu peux faire un “virtual honeypot” et les regarder s’amuser sans risquer de te faire pourrir ton système. Mais si tu veux vraiment jouer, je peux te recommander un privé qui se fera une joie d’aller leur casser les doigts.

Attention, la technique du honeypot (virtuel ou non) est totalement illegal en france.

De la meme maniere, repondre activement a une attaque (ie repondre a une attaque PAR une attaque) est illegal aussi.
On a juste le droit de logger les attaques et d’appeler les flics. Si c’est veritablement considere comme une attaque dangereuse.

LoneWolf
Pas le droit de taper sur les script kiddies :stuck_out_tongue:

Pas le droit de faire justice soi-même surtout, et ça c’est plutôt bien je pense. (ça permets d’éviter les « sépa mou ké commencé M’sieur l’agent » pour commencer.)

Surtout que c’est des machines déjà infectées qui servent à réaliser les “attaques”. Le meilleur moyen de se protéger c’est :

  • d’interdire le login root en SSH (c’est vraiment la base)
  • d’interdire le login SSH des comptes n’ayant pas besoin de se loger en SSH (généralement c’est fait par defaut pour des comptes apache, mysql, postgres et co), pour les autres, tu peux utiliser nologin comme shell.
  • de bloquer l’accès au port SSH des IP non européennes directement sur le firewall.
  • d’utiliser des strong passwords avec des caractères complexes si possible.

Si tu as du temps à perdre, tu peux tjs balancer des mails à l’adresse abuse du fournisseur/hébergeur, mais quand c’est des IP asiatiques, c’est même pas la peine.

Qui parle de se faire justice ?

Je cherche pas l’adresse postal du mec pour aller lui casser la gueule hein !

Je veux juste lui flanquer les miquettes en lui montrant bien que je sais qui il est.

De plus Unreal , je ne sais pas faire les trois quarts de ce que tu viens de m’énoncer; eeettt oui noob 'nux online !

Pourquoi celà ?

Dans ce cas, je pense que ce serait sage que tu places ton serveur dans ton réseau local avec le minimum de services visibles depuis l’extérieur. Si tu as vraiment besoin d’un login SSH, fais tourner ton sshd sur un port non standard (genre 22675). Il y’a deja eu des tonnes de failles OpenSSH par le passé et faire tourner une box sur le net sans protection et sans savoir ce que tu fais, c’est vraiment chercher des soucis.

Pour le honeypot, je savais pas que c’était pas légal (j’aimerais d’ailleurs bien savoir pourquoi, comment … les références, tout ca).

Pour savoir qui il est, fais un whois sur l’IP.
http://ripe.net/fcgi-bin/whois
Si c’est une adresse dépendant du RIPE (europe), ca te renverras le fournisseur d’acces, et les contacts en cas d’abus (abuse@…).
Sinon, ca te renverras vers l’organisme manageant la tranche d’IP, qui te permetra d’avoir l’info recherchée.

Ou bien, toujours utile, http://www.samspade.org/ (c’est lui mon privé qui casse des doigts)

un petit lien rapide pour info.

edit: Concernant la legalite des honey pot, j’avais lu ca dans un MISC (je sais plus lequel). La, je prend le train pour chez moi (yeah) et je suis en vacances demain soir, j’essaye de penser a retrouver le stuff

LoneWolf
Info express #2

[quote=“LoneWolf, post:13, topic: 26533”]un petit lien rapide pour info.

LoneWolf
Info express #2[/quote]

Moui , c’est pas très très clair , d’autant qu’apparement il n’y a pas encore eu de précedent juridique.

Lone > document interressant, mais la question de la légalité reste floue.
Ce qui est clair, c’est que d’une part : tu n’as pas le droit de répondre.
et d’autre : les infos accumulés par l’honey pot n’ont pas de valeur de preuve seules.

Il n’est pas illegal d’utiliser un honeypot pour observer, il est illegal de se servir des informations recueillies.

Je rejoints ce que dit Unreal, change le port d’écoute de ton SSH et n’authorise que certaines comptes avec de bon passwords à y accèder.

Il y a de grandes chances que ce ne soit de toute façon pas une attaque ciblée mais des robots. Et il y a également beaucoup de chances que ces tentatives de connexion se fasses par des zombies ou via des attaques par rebond. Identifier la source ne servira certainement pas à grand chose.

[quote=« M_le_maudit, post:9, topic: 26533 »]Qui parle de se faire justice ?

Je cherche pas l’adresse postal du mec pour aller lui casser la gueule hein !

Je veux juste lui flanquer les miquettes en lui montrant bien que je sais qui il est.[/quote]
Je réagissais aux propos de LoneWolf, c’est d’ailleurs bien lui que j’ai quoté. :stuck_out_tongue: :

[quote=« LoneWolf, post:9, topic: 26533 »]De la meme maniere, repondre activement a une attaque (ie repondre a une attaque PAR une attaque) est illegal aussi.
On a juste le droit de logger les attaques et d’appeler les flics. Si c’est veritablement considere comme une attaque dangereuse.

LoneWolf
Pas le droit de taper sur les script kiddies dry.gif[/quote]
Voilà, tu demandes qui parle de se faire justice => LoneWolf en parlait (en précisant bien que c’est illégal) et c’est à ça que j’ai réagi.

J’espère que c’est plus clair comme ça sinon c’est pas très important non plus :stuck_out_tongue:

Je crois que j’ai même pas désactivé root pour le ssh.

Méfiez vous, la parano vous guette.

Edit : ah, non, j’ai vraiment pas désactivé root.

Je pense que c’est interdit de la meme maniere que une madame flic qui se fait passer pour une pute et te propose une passe rapide pour 20 euros c’est interdit aussi. C’est pas accepté en France parcequ’on peut argumenter que tu aurais pas fait l’acte illegal si le « flic » t’y avais pas incité :stuck_out_tongue: Ca reste discutable que ca s’applique aux honeypots mais bon…

D’un autre côté 20 euros tu te doutes bien qu’il y a un piège…

Good_boy, Total Joey Starr Style.