C’est un peu la folie en ce moment pour les tentatives d’accès par SSH sur les machines *NIX, alors c’est p-e un bon moment pour sécuriser un peu vos box.
A title d’exemple, en même pas une semaine on a tenté de se logger 435 fois frauduleusement sur ma passerelle Linux (sans succès).
Alors voici quelques conseils :
n’utilisez pas des logins évidents comme john, george ou alan
utilisez tjs des mots de passe d’au moins 8 caractères avec des chiffres
ne créez jamais de comptes demo/demo, test/test ou temp/temp – d’après les logs que j’ai devant les yeux les mézzants h4x0rZ les essayent systématiquement
maintenez vos services à jour : sshd a un long passé de failles en tout genre et comme le service tourne avec des permissions root, un exploit peut coûter très cher
et surtout modifiez /etc/ssh/sshd_config pour que sshd n’accepte que les comptes que vous utilisez réellement. Cherchez la ligne “AllowUsers” et la modifier (ou l’ajouter) de la manière suivante :
AllowUsers [user1] [user2] [user3] […]
Cela empêche évidemment “root” de se logger en ssh (il ne faut pas rajouter root dans la liste ) et aussi mysql/mysql, oracle/oracle ainsi de suite.
Voilà, have fun… Ce message a été édité par unreal le 17/10/2004
Moi j’utilise Shorewall (basé sur iptables je crois).
Par défaut je refuse absolument toutes les connexions extérieures sur tous les ports.
En clair, aucune connection ne peut être initialisée extérieur -> intérieur.
Et toutes les connexions peuvent être initialisées intérieur -> extérieur.
Après j’ai ouvert les ports des serveurs de jeux, et quelques autres trucs…
Le firewall cest le minimum maintenant vu que méme xp (sp2) a un firewall correcte.
Il reste a faire comprendre l interet des ids (snort) qui permettent de supprimer la majoritée des intrusions par des utilisateur d outils de hack (force truc bidules , toolkit xploit machin ) .
Surtout que les outils de type snort ne necessitent pas des mises a jour hyper contraignante et il est possible de se faire des regles de detection perso .
Pour ssh il existe des petit script qui permettent d’activer ssh apres une suite de connexion sur x ports . Exemple paquet sur port 25 13 80 de la méme ip et op ssh se lance .
[quote]Pour ssh il existe des petit script qui permettent d’activer ssh apres une suite de connexion sur x ports . Exemple paquet sur port 25 13 80 de la méme ip et op ssh se lance .[/quote] Intéressant ça, tu peux donner le nom stp ?
Sinon, je confirme il y a plusieurs tentative d’accès sur le port 22 mais pas très méchante. Même pas du vrai brute force, juste 10 tentatives d’accès sur des login à la con (John, bill, etc…) et une vingtaine sur root (désactivé).
Vous avez remarquez que toute ces attaque proviennent de site web ? Et souvent de site de design
A mon avis c’est des machines compromises qui servent à réaliser de nouvelles attaques.
Sinon, pour les interessés voici un exemple d’attaque chez moi ce matin.
[quote]A mon avis c’est des machines compromises qui servent à réaliser de nouvelles attaques.
Sinon, pour les interessés voici un exemple d’attaque chez moi ce matin.[/quote] Avec l’IP tu ne peux rien faire ? Genre prévenir le site web, FAI ?
[quote]Avec l’IP tu ne peux rien faire ? Genre prévenir le site web, FAI ?[/quote]Hahaha Bonne chance ouai.
Deja, le FAI il s’en fout: il est pas responsable de ce qui se passe sur son reseau, si ca lui coute pas des mille yons (genre bhou le mechant spam) ca va direct a la poubelle ce genre de mail si dans le from il y a pas un .gov
[quote]Avec l’IP tu ne peux rien faire ? Genre prévenir le site web, FAI ?[/quote]Ouais, tu peux essaier de prévenir les gens qui se sont fait pirater leur machine. Au mois de juillet quand j’ai vu ca j’ai envoyé une vingtaine de mails mais aucune réponse. Et trouver les emails des gens, c’est long, pas toujours possible, et pas vraiment automatisable. Donc si t’as du temps à perdre …
[quote][quote] Avec l’IP tu ne peux rien faire ? Genre prévenir le site web, FAI ?[/quote]Ouais, tu peux essaier de prévenir les gens qui se sont fait pirater leur machine. Au mois de juillet quand j’ai vu ca j’ai envoyé une vingtaine de mails mais aucune réponse. Et trouver les emails des gens, c’est long, pas toujours possible, et pas vraiment automatisable. Donc si t’as du temps à perdre …
[/quote]
Je viens de penser à un truc, ça ne devrait pas être dur de faire un script qui prend comme entrée une IP, puis effectue un WHOIS, et envoie un mail type au proprio de l’IP…
Hummm et un combo avec un grep de /var/log/auth serait pas mal aussi … vous en pensez quoi ?
[quote]Je viens de penser à un truc, ça ne devrait pas être dur de faire un script qui prend comme entrée une IP, puis effectue un WHOIS, et envoie un mail type au proprio de l’IP…[/quote]T’as deja essaye de faire un whois recemment pour trouver l’email de quelqu’un? Essaye de me trouver l’id INET et l’email de winfxcoder.com si tu me trouve mon adresse en France t’as un whois qui va se faire gronder…
Tiens, ça fait un vieux bail que j’ai pas contemplé mes logs.
On va regarder ça une ou deux secondes…
Unreal -> C’est pas un log custom ton extrait (t’en connais des tas de potes qui se nomment john dis donc), c’est du custom grep truc ou standard fainéant ?
[quote]T’as deja essaye de faire un whois recemment pour trouver l’email de quelqu’un? Essaye de me trouver l’id INET et l’email de winfxcoder.com si tu me trouve mon adresse en France t’as un whois qui va se faire gronder…[/quote]Euh, ça marche très bien pour ton domaine… à moins que ça ne soit pas ce dont tu parles, j’affiche tes infos (adresse, nom, email, identifiant) sans soucis.
L’identifiant INET, c’est bien le machin sous la forme XX###-OVH (GANDI etc.) ?
[quote][quote]Je viens de penser à un truc, ça ne devrait pas être dur de faire un script qui prend comme entrée une IP, puis effectue un WHOIS, et envoie un mail type au proprio de l’IP…[/quote]T’as deja essaye de faire un whois recemment pour trouver l’email de quelqu’un? Essaye de me trouver l’id INET et l’email de winfxcoder.com si tu me trouve mon adresse en France t’as un whois qui va se faire gronder…[/quote]Ben gronde-le… A moins que ton adresse c’est du mytho ?
OVH ne cache rien il me semble…
[quote]T’as deja essaye de faire un whois recemment pour trouver l’email de quelqu’un? Essaye de me trouver l’id INET et l’email de winfxcoder.com si tu me trouve mon adresse en France t’as un whois qui va se faire gronder…[/quote]A moins que tu n’aies dit des conneries à OVH, je confirme que je devrais effectivement pouvoir t’envoyer une carte postale à l’adresse qu’il m’a filée bien gentiment sans rechigner…
Le finnois est vierge de tentatives de log sur le 22.
Marrant.
Bon, je déconne, j’ai pris un log un peu vieux et poum
Oct 10 12:21:42 finn sshd[28077]: Failed password for illegal user webmaster from ::ffff:211.43.217.242 port 57361 ssh2
Oct 10 12:21:48 finn sshd[28088]: Failed password for illegal user data from ::ffff:211.43.217.242 port 58292 ssh2
Oct 10 12:21:53 finn sshd[28091]: Failed password for illegal user user from ::ffff:211.43.217.242 port 59364 ssh2
Oct 10 12:21:58 finn sshd[28094]: Failed password for illegal user user from ::ffff:211.43.217.242 port 60388 ssh2
Oct 10 12:22:04 finn sshd[28098]: Failed password for illegal user user from ::ffff:211.43.217.242 port 33128 ssh2
Oct 10 12:22:09 finn sshd[28134]: Failed password for illegal user web from ::ffff:211.43.217.242 port 34199 ssh2
Oct 10 12:22:14 finn sshd[28137]: Failed password for illegal user web from ::ffff:211.43.217.242 port 35171 ssh2
Oct 10 12:22:19 finn sshd[28140]: Failed password for illegal user oracle from ::ffff:211.43.217.242 port 36165 ssh2
Oct 10 12:22:25 finn sshd[28144]: Failed password for illegal user sybase from ::ffff:211.43.217.242 port 37118 ssh2
Oct 10 12:22:30 finn sshd[28148]: Failed password for illegal user master from ::ffff:211.43.217.242 port 38321 ssh2
Oct 10 12:22:35 finn sshd[28151]: Failed password for illegal user account from ::ffff:211.43.217.242 port 39344 ssh2
Oct 10 12:22:40 finn sshd[28154]: Failed password for illegal user backup from ::ffff:211.43.217.242 port 40442 ssh2
Oct 10 12:22:46 finn sshd[28164]: Failed password for illegal user server from ::ffff:211.43.217.242 port 41444 ssh2
Oct 10 12:22:51 finn sshd[28167]: Failed password for illegal user adam from ::ffff:211.43.217.242 port 42469 ssh2
Oct 10 12:22:56 finn sshd[28170]: Failed password for illegal user alan from ::ffff:211.43.217.242 port 43467 ssh2
Oct 10 12:23:01 finn sshd[28174]: Failed password for illegal user frank from ::ffff:211.43.217.242 port 44390 ssh2
Oct 10 12:23:07 finn sshd[28187]: Failed password for illegal user george from ::ffff:211.43.217.242 port 45299 ssh2
Oct 10 12:23:12 finn sshd[28214]: Failed password for illegal user henry from ::ffff:211.43.217.242 port 46402 ssh2
Oct 10 12:23:17 finn sshd[28217]: Failed password for illegal user john from ::ffff:211.43.217.242 port 47329 ssh2
Oct 10 12:23:22 finn sshd[28220]: Failed password for root from ::ffff:211.43.217.242 port 48284 ssh2
[quote][quote]Je viens de penser à un truc, ça ne devrait pas être dur de faire un script qui prend comme entrée une IP, puis effectue un WHOIS, et envoie un mail type au proprio de l’IP…[/quote]T’as deja essaye de faire un whois recemment pour trouver l’email de quelqu’un? Essaye de me trouver l’id INET et l’email de winfxcoder.com si tu me trouve mon adresse en France t’as un whois qui va se faire gronder…
[/quote]Et dans le cas contraire, on gagne quoi ?
J’avais envoyé un mail à un des hébergeurs dont appartenait l’IP d’une des attaques et voici la réponse que je viens de recevoir:
Hello,
Thank you for your report of abuse by a xxx Networks customer. After investigation, the client’s machine was found to be compromised. It was being used by a third party to initiate port scans and other malicious activities. The server was quarantined, and will not be placed back onto the Internet until it has undergone a complete disk format and OS reinstall.
Thank you again for your assistance.
La preuve que ca sert d’envoyer des mails d’abuse à des hébergeurs sérieux.
Dans notre lutte antispam, après avoir recu un spam ce matin :
[b]De: [/b] [email=project21_2004@mail.com" target="_blank]project21_2004@mail.com[/email] [b]Répondre à: [/b] [email=project21_2004@mail.com" target="_blank]project21_2004@mail.com[/email] [b]Objet: [/b] $1,500/wk WITH YOUR OWN COMPUTER!!! [b]Date: [/b] Sat, 23 Oct 2004 06:05:06 -0400 [i] (12:05 CEST)[/i]
HOMEWORKER'S DREAM COME TRUE!!
Sensational Internet income! Part-time. No experience
or capital needed. Not MLM. For "FREE REPORT"
E-mail: project21_2004@mail.com
j’ai envoyé un mail pour me plaindre, voici la réponse (automatique) :
[b]De: [/b] [email=abuse@mail.com" target="_blank]abuse@mail.com[/email] [b]À: [/b]
[b]Objet: [/b] Re: Spam [b]Date: [/b] 23 Oct 2004 10:38:08 -0000 [i] (12:38 CEST)[/i]
Thank you for contacting the Mail.com anti-spam desk. This message
confirms that we have received your inquiry.
Mail.com adheres to extremely strict privacy and abuse policies and we
will take all necessary action to prevent our systems and users from
being subjected to SPAM and abusive e-mail.
We will take all possible steps to stop spam from originating from our
systems and take action against users who send out spam abusing our
systems or our accounts, however due to the high volume of e-mails we
handle on a daily basis we request that you allow us between 24-36hrs
to resolve your case.
If you are a mail.com user writing in to complain about spam, please
note that we will use your spam complaint to enhance our filters but
we will not be able to send you a personal response to your e-mail. We
encourage you to send out spam complaints to the spammer’s ISP and
e-mail provider using http://www.spamcop.net
If your inquiry is not related to spam or other violations of our
acceptable use policy, you will not receive a reply. If you wish to
reach customer service please re-submit your inquiry using our
customer service submission form, located at the URL below. All you
need to do is click on this link and complete the required fields: