Attaque sur le port 22, Deny Log

[pascal_lucas]

Bonjour à tous,

En examinant les log Message de mon sme serveur 6.01, je suis surpris par la quantité d'accés à mon serveur. Je trouve un nombre très important de :
Apr 9 16:46:41 comexim kernel: denylog:IN=ppp0 OUT= MAC= SRC=83.152.126.134 DST=83.152.191.30 LEN=48 TOS=0x00 PREC=0x00 TTL=121 ID=30427 PROTO=TCP SPT=3741 DPT=445 WINDOW=16384 RES=0x00 SYN URGP=0

De plus il me semble avoir eu une tentative d'intrusion sur le port 22 par l'IP 80.48.87.2

Apr 9 14:23:09 comexim sshd[6526]: Illegal user contabil from 80.48.87.2
Apr 9 14:23:09 comexim sshd[6526]: Failed password for illegal user contabil from 80.48.87.2 port 38748 ssh2
Apr 9 14:23:11 comexim sshd[6528]: Illegal user contempo from 80.48.87.2

etc....

Est-ce grave ? Mon serveur peut-il résister à ce type d'attaque avec un mot de passse correct ?

Comment utiliser et analyser les informations données par snort et ACID ?

Merci pour toutes les informations

Pascal

[micjack]

Apr 9 14:23:09 comexim sshd[6526]: Illegal user contabil from 80.48.87.2
Apr 9 14:23:09 comexim sshd[6526]: Failed password for illegal user contabil from 80.48.87.2 port 38748 ssh2
Apr 9 14:23:11 comexim sshd[6528]: Illegal user contempo from 80.48.87.2

Alors la, c'est soit tu as autorisé l'acces via le Web au port 22 (ssh) ou carrement tout est ouvert chez toi..

Si c'est vraiement le cas, il est normal que tu te tape des log de ce genre.. Ouvre un FTP, tu verra que c'est la meme chose...

Et encore, je trouve qu'ils sont nuls les soit disant mechants hakerz, car ils utilisent en plus des noms d'utilisateurs loins d'etre celui par defaut.....

Vu le contexte de ne pas savoir mette un nom d'admin correct, tu peux dormir tranquil avant qu'ils trouvent en plus ton passs..

PS: En plus, la personne s'acharne visiblement sur une personne ciblée (contabil, contempo, cont*? )

[jibe]

Salut,

Apparemment, tu as ouvert au public l'accès ssh... Est-ce bien nécessaire ? Un accès confidentiel (limité à ton LAN) me parait suffisant...

Tu administres ta SME à distance via internet ?

En tous cas, l'accès ssh ouvert au public, c'est sûr que tu vas avoir des tentatives d'intrusion. De là à ce qu'elles aboutissent si tu as des mots de passe corrects, il peut encore couler un peu d'eau sous les ponts. Mais bon, n'ouvre que ce qui est nécessaire...

[MasterSleepy]

Salut,

Si l'utilisation de ssh est nécessaire à distance, je te conseil de modifier le port du ssh.
Ca ce fait assez facilement en modifiant le fichier
/etc/ssh/sshd_config
Evidemment il faut utiliser les templates.

Ensuite il suffit d'ouvrir le port à l'extérieur avec l'excellente contrib de muzo.

A+

[pascal_lucas]

Merci pour vos avis,

En effet je compte mettre à disposition d'un des utilisateurs du serveur un accés aux différentes ibays par ssh (il me semble que ce système est beaucoup plus rassurant que le ftp).
Comme vous le précisez il est peut-être préférable de broullier les cartes en changeant le port d'accés ssh. Je vais étudier comment modifiier le template correspondant ( ce sera ma première modification.... un peu d'aide ou d'indications me seront peut-être utille...)

Donc si je vous comprend bien, ce type d'essais d'intrusion est courant et sans trop de risque sur un sme avec des mots de passe corrects (majuscule, minuscule, chiffres, et caractères spéciaux) ?
Ne rsique-t-il pas de ralentir les accés externes aux serveurs ?

A bientôt à tous,

Pascal

[Muzo]

Salut,

Tout risque n'est pas négligeable. Maintenant, plus cela sera difficile, moins tu auras de chance que ce soit un hackerz de 14 ans. Et si il passe, ce sera un pro ou un doué, donc il cherchera des informations sensibles sans laisser de traces, et donc évitera tout défacement.

Mais bon on ne sait jamais.

/Muzo-mode-paranoïa-on

[jibe]

Salut,

J'avais vu des stats à ce sujet. Je les cite de tête, mais je ne crois pas me tromper beaucoup :

- Dès que tu es connecté sur internet, une tentative d'intrusion a lieu au bout de 15 mn
- Sous windows XP, une intrusion a lieu au bout de 18 mn (pas les mêmes sources, donc j'en déduis peut-être un peu vite qu'il faut à peine 3 mn pour passer toutes les "sécurités" de XP )

C'est un peu comme quand tu laisses ta voiture sur un parking dans un quartier louche : il ne faut pas longtemps pour que quelqu'un tente d'ouvrir ta portière. Cela ne veut pas forcément dire que ta voiture court un très grand risque, mais plus simplement qu'il faut éviter de la laisser ouverte...

A ma connaissance, ceux qui se sont fait pirater leur SME sont seulement ceux qui l'ont modifiée et qui, ce faisant, ont ouvert une porte... Maintenant, même avec des serrures inviolables, il est certain que plus tu crées de portes (même dûment verrouillées), plus tu donnes de possibilités...

Maintenant on pourrait débattre de ton choix : ssh plutôt que ftp... Pas bête du tout ! mais est-ce effectivement mieux sur une SME ? En parlant d'une config normale, bien sûr, non d'une SME modifiée, sinon, il faut bien connaitre les modifs apportées pour juger des effets, de même qu'il faut bien connaitre la SME pour la modifier proprement (templates...) et sans risques.

Dans ces conditions, si tu ouvres le ssh, tu l'ouvres pour toute la bécane, alors que tu peux limiter l'accès FTP à une ou plusieurs ibays. Donc, si le ssh est effectivement (avec une version corrigée ) plus sûr que FTP, le risque est plus grand en cas de pénétration par ssh que par FTP...