botnet ??

[guidorange]

Bonjour a tous voila j'ai recu un mail de mon FAI qui disait ceci :

Code: Tout sélectionner

To whom it may concern.
>
> We have detected a hack attempt originating from your network from ip:
>x.x.x.x
>
> This suggests that the above server has been compromised and is a
> participant in a botnet.
>
> This means that this server has been hacked and now, in turn, is attempting
> to hack other servers on the Internet.
>
> This IP address has now been blacklisted to protect our service from further
> brute force attacks. Furthermore, this IP address has been uploaded to the
> DenyHosts database. This means that this IP address will also shortly be
> blacklisted by all DenyHosts members who query this central database.
>
> An excerpt from our logfiles. All times shown are in GMT:
>
> Apr 16 10:31:37 [sshd] Invalid user beale from x.x.x.x
> Apr 16 10:31:40 [sshd] Invalid user beale from x.x.x.x
> Apr 16 10:31:40 [sshd] error: PAM: Authentication failure for illegal user
> beale from x.x.x.x
> Apr 16 10:31:40 [sshd] Failed keyboard-interactive/pam for invalid user
> beale from x.x.x.x port 37456 ssh2
> Apr 16 10:31:44 [sshd] error: PAM: Authentication failure for illegal user
> beale from x.x.x.x
> Apr 16 10:31:44 [sshd] Failed keyboard-interactive/pam for invalid user
> beale from x.x.x.x port 51555 ssh2
> Apr 16 10:31:53 [sshd] Invalid user beale from x.x.x.x
> Apr 16 10:31:57 [sshd] error: PAM: Authentication failure for illegal user
> beale from x.x.x.x
> Apr 16 10:31:57 [sshd] Failed keyboard-interactive/pam for invalid user
> beale from x.x.x.x port 42289 ssh2
>
> Regards.
> Panther Software System Administrator

[guidorange]

mon routeur est ipcop.
Derriere j'ai une DMZ 172.20.0.0 et en GREEN mon LAN 192.168.0.0

Connaissez vous des logiciels pour traquer des malwares ou botnets ? qui m'aiderai a cibler la source du problème ?

[Franck78]

c'est du blah blah sans queue ni tête pour troubler les gogos. Si ton FAI a un soucis qui le concerne avec toi, il saura te le signaler par téléphone ou courrier.

[guidorange]

je ne pense pas que ce soit une supercherie car le FAI a téléphoné a mon collègue de taf qui ma ensuite informé du problème.

et aussi parce que sur mx lookup tool j'ai ca ( UCEPROTECTL1 blacklist mon ip )

Code: Tout sélectionner

UCEPROTECTL1   Listed   LISTED   IP x.x.x.x is UCEPROTECT-Level 1 listed. See Detail
Return codes were: 127.0.0.2   2100   2453


avant mon ip n'était pas blacklister

[ccnet]

Votre configuration ipcop comporte t elle l'addon BOT ?

Connaissez vous des logiciels pour traquer des malwares ou botnets ? qui m'aiderai a cibler la source du problème ?

Le mieux est encore de faire en sorte qu'il ne puissent pas fonctionner sur votre réseau. Quels sont les services en dmz ?

[Franck78]

mouais, pourquoi ne pas avoir indiqué que le FAI avait déjà contacté ta boite, source du problème....

un botnet qui ferait un brute force sur un serveur ssh. Pas commun. c'est quoi les machines du botnet? Généralement de pauvres fenêtres ouvertes sur le monde. Et dont le client principalement disponible n'est pas un client ssh.

pas de bol, tu attaques la machine de ton FAI. Avec le nombre de cible potentielle, c'est vraiment pas de chance.


Tu veux de l'aide pour régler le problème. As-tu au moins trouvé la machine origine de la connexion ssh? C'est de la fenêtre ou du pingouin ?

Connaissez vous des logiciels pour traquer des malwares ou botnets ?
à mon avis, si tu poses la question à un moteur de recherche tu obtiendras beaucoup de réponses....

qui m'aiderai a cibler la source du problème ?

tu as tout ce qu'il faut dans ipcop. tcpdump, iftop, les logs,.....

Franck

[guidorange]

Non mon ipcop n'ap pas l'addon bot. c'est de snort que tu parle détection d'intrusion ? c'est bien ça ?

La machine originaire du problme est un serveur de messagerie postix - debain etch

[ccnet]

Non mon ipcop n'ap pas l'addon bot.

Le contrôle des flux sortant est critique pour la sécurité d'un réseau. BOT permet de ne laisser sortir que le trafic strictement nécessaire.

c'est de snort que tu parle détection d'intrusion ?

Merci d'écrire dans un français compréhensible.

c'est bien ça ?

Je n'ai parlé de Snort nulle part dans ce fil.

Votre Postfix ne serait il pas configuré comme un relai ouvert ?

[jdh]

(Même si je ne suis pas écouté ...)


Typiquement, il y a là un manque d'expérience.

Autant BOT est ABSOLUMENT indispensable avec IPCOP, autant SNORT est très généralement inutile !


J'explique :

* BOT est un addons absolument nécessaire parce que les règles par défaut d'IPCOP sont laxistes.

Par défaut, comme il est mentionné dans le newbie kit, de Green vers Red "tout" est autorisé. C'est une règle (plutôt policy) très pratique parce qu'elle permet de tout de suite fonctionner. Mais c'est en fait très dangereux puisqu'il n'y a aucun contrôle. Par paresse, on laisse se fonctionnement où finalement IPCOP ne vaut pas mieux qu'une assez bête box quelconque.

Il vaudrait mieux passer quelques minutes à écrire et à configurer, grâce à BOT, les quelques règles vraiment nécessaires : http, ftp, https, pop3, imap, smtp (sauf s'il y a un serveur de mail local). Un point c'est tout.

NB: PfSense ne fait pas mieux : "LAN vers Any" est par défaut. Mais la présence des alias, dans PfSense, facilite tellement la config des règles, que cela devient un régal à la configuration et à la lecture visuelle !

* SNORT est typique d'une très fausse bonne idée (pour le commun des utilisateurs).

SNORT, en tant qu'IDS, est capable d'observer les paquets "défectueux".

Outre le fait que SNORT n'est pas idéalement situé sur un firewall, il faut savoir ce que veut dire "défectueux".

Là, le commun des utilisateurs (et je me place dedans) n'est pas capable de savoir POURQUOI ce paquet est défecteux. Et encore moins, ce qu'il FAUT faire !

Ce type d'outil exige une compétence TRES pointue et une disponibilité IMMEDIATE. Vous avez autre chose à faire que de valider ou non la décision de bloquer tel ou tel paquet, voire de réagir. Enfin, c'est mon cas ! (Dans une vie antérieure, en tant que responsable du réseau européen d'une entreprise de 2600 personnes, des serveurs, des accès Internet de tous ses sites, cela n'était ni ma mission ni mon objectif !)


Donc, en bref, je vous encourage à installer et paramétrer dare dare BOT et à désactiver SNORT ! (Tiens une contrepéterie belge ... comme le bouche à bouche !)


NB: Franck78 est un expert d'IPCOP. Alors, moi, je lui fais TOUTE confiance dans ce qu'il affirme. (Et pas seulement parce que j'ai eu le plaisir de le rencontrer et de discuter avec lui ...)

NB2: Avec Debian, il faut vraiment être une bille pour mettre Postfix en relais ouvert. (Le mot est faible !). De même, ne pas savoir qu'il faut utiliser le smtp du FAI pour relayer ses mails est véritablement inconséquent ! (ligne relayhost) (UCE veut peut-être dire quelque chose). Quand je dis qu'il est bien préférable de laisser la gestion des boites mails aux professionnels (le FAI) !

[ccnet]

NB2: Avec Debian, il faut vraiment être une bille pour mettre Postfix en relais ouvert. (Le mot est faible !)

De plus il faut vraiment le faire manuellement, c'est à dire modifier main.cf pour que ce soit le cas. On voit tellement de choses sur les réseaux d'entreprises ...

[jdh]

Je confirme, ccnet. Je voulais écrire une b.u.r.n.e. parce que, de base, avec Debian, Postfix N'EST PAS en openrelay. Comme qmail dans SME, comme Exim dans Debian, comme ....... Il faudrait donc l'avoir fait exprès.

Je pense plutôt à un blacklistage d'ip parce les mails sont envoyés directement ... sans passer par le FAI ... comme il FAUT le faire. (Pour mon premier serveur mail connecté à Internet, je l'ai laissé 3 jours en openrelay, mais c'était un Domino/Notes et c'était au siècle dernier ! Tout le monde peut apprendre ... il suffit de chercher sur ce forum ...)


Par exemple, avec BOT, on peut autoriser l'accès smtp de Red vers Orange/le serveur mail.
On autorisera ensuite d'Orange/le serveur mail vers Red/Smtp du fai parce qu'on aura bien configuré la ligne relayhost du main.cf (config dite avec "smarthost" de Postfix et non "site internet").

Autre exemple, il n'y a AUCUNE raison que le serveur ait le droit de faire du ssh sortant. Par contre on veillera à lui autoriser http (ou ftp) pour faire les apt-get/aptitude nécessaires !


Objectivement, configurer BOT ne doit guère prendre plus d'une heure après une heure de réflexion pour définir les protocoles à autoriser. Par exemple :

Green -> Red :
(tous) : http, https, ftp
(srv win) : http, https, ftp, dns

Orange -> Red :
(srv mail) : smtp (smtp.fai), http

Orange -> Green :
(srv mail) : dns (srv win)

....

[guidorange]

NB2: Avec Debian, il faut vraiment être une bille pour mettre Postfix en relais ouvert. (Le mot est faible !)

De plus il faut vraiment le faire manuellement, c'est à dire modifier main.cf pour que ce soit le cas. On voit tellement de choses sur les réseaux d'entreprises ...

Mon serveur mail n'est pas openrelay et biensur j'ai configurer la ligne relayhost main.cf vers mon FAI.
Il n'est pas openrelay car seul les users de mon domaine peuvent envoyer un mail avec mon nom de domaine.
Mon serveur de mail est bein configuré je pense , j'ai verifier via des sites comme mx tool ou autres. et il n'affiche pas en openrelay
Si j'ai chopé cette $%#&! c'est parce que j'ai trop mal configuré ipcop et pas du tout pensé a BOT. c'est une erreur.

En ce moment je pense que s'est lier mais je n'arrive plus a passer par mon proxy pour acceder au web! problème port 80 alors que si je désactive le proxy via un navigateur le web fonctionne !

2 semaines de vacances, je reveins et c'est trop la $%#&! !

[ccnet]

Il n'est pas openrelay car seul les users de mon domaine peuvent envoyer un mail avec mon nom de domaine.

Postfix n'est pas un relais ouvert quand :
1. mynetworks est correctement configuré
2. relay_domains = $mydestination, domaine1.tld, etc ....
Et qu'il n'y a pas d'inversions malencontreuses de lignes dans les "smtpd restrictions".

[guidorange]

Il n'est pas openrelay car seul les users de mon domaine peuvent envoyer un mail avec mon nom de domaine.

Postfix n'est pas un relais ouvert quand :
1. mynetworks est correctement configuré
2. relay_domains = $mydestination, domaine1.tld, etc ....
Et qu'il n'y a pas d'inversions malencontreuses de lignes dans les "smtpd restrictions".

La seul chose que je sois sur c'est qu'il n'est pas open relay ! je peux te donner mon ip public et tu verra par toi même ! en plus de cela le serveur mail possède son FW via iptables !

Pour la petite histoire :

le botnet a tout d'abord virer mon port 80 de mon serveur mail et a utiliser un processus que je n'arrivai pas a tuer /usr/bin/web sur ce méme port 80!

Ensuite lorsque je suis revenu de vacances j'ai vu qu'il y avait énormément de processus ssh5 . Du coup j'ai redémarrer le serveur ! je pense qu'il s'agit des attaques dont m'a parlé le FAI.
je pense que je vais devoir réinstaller le serveur mail pour virer cette $%#&! !

Après j'ai peut etre chopé ce malware a cause de l'antivirus qui ne l'a pas détecté (clamAV) ou alors via BOT que je n'ai pas configuré et ipcop mal configuré.

Maintenant sur mon réseau local (je sais pas si s'est lier) mais je ne peux plus passer par le proxy pour accéder au pages web. je suis obliger de le désactiver ainsi que deux règles iptables qui forcait a passer par le proxy. port 80 --> port 8080

Du coup c'est la $%#&! !

[Franck78]

2 semaines de vacances, je reveins et c'est trop la $%#&! !

Quatre ans de postfix derrière IPCop, et, suprême outrage à la déontologie sécuritaire minimale, ni en DMZ, ni BOT sur ipcop.

Il serait intéressant que tu débranches tes machines linux et en réinstalle correctement d'autres,... et prenne le temps d'ausculter exhaustivement les anciennes machines pour comprendre par ou est passé l'intrus. Si tu ne le fais pas, ce sera rebolote dans une semaine, un mois, un an...