Attaque sur le port 22, Deny Log

Forum dédié à la distribution du même nom et que vous pourrez télécharger sur http://www.contribs.org. La nouvelle version de cette distribution se nomme SME Server

Modérateur: modos Ixus

Attaque sur le port 22, Deny Log

Messagepar pascal_lucas » 09 Avr 2005 19:25

Bonjour à tous,

En examinant les log Message de mon sme serveur 6.01, je suis surpris par la quantité d'accés à mon serveur. Je trouve un nombre très important de :
Apr 9 16:46:41 comexim kernel: denylog:IN=ppp0 OUT= MAC= SRC=83.152.126.134 DST=83.152.191.30 LEN=48 TOS=0x00 PREC=0x00 TTL=121 ID=30427 PROTO=TCP SPT=3741 DPT=445 WINDOW=16384 RES=0x00 SYN URGP=0

De plus il me semble avoir eu une tentative d'intrusion sur le port 22 par l'IP 80.48.87.2

Apr 9 14:23:09 comexim sshd[6526]: Illegal user contabil from 80.48.87.2
Apr 9 14:23:09 comexim sshd[6526]: Failed password for illegal user contabil from 80.48.87.2 port 38748 ssh2
Apr 9 14:23:11 comexim sshd[6528]: Illegal user contempo from 80.48.87.2

etc....

Est-ce grave ? Mon serveur peut-il résister à ce type d'attaque avec un mot de passse correct ?

Comment utiliser et analyser les informations données par snort et ACID ?

Merci pour toutes les informations

Pascal
Avatar de l’utilisateur
pascal_lucas
Aspirant
Aspirant
 
Messages: 110
Inscrit le: 28 Nov 2003 01:00
Localisation: carvin

Messagepar micjack » 10 Avr 2005 00:36

Apr 9 14:23:09 comexim sshd[6526]: Illegal user contabil from 80.48.87.2
Apr 9 14:23:09 comexim sshd[6526]: Failed password for illegal user contabil from 80.48.87.2 port 38748 ssh2
Apr 9 14:23:11 comexim sshd[6528]: Illegal user contempo from 80.48.87.2

Alors la, c'est soit tu as autorisé l'acces via le Web au port 22 (ssh) ou carrement tout est ouvert chez toi..

Si c'est vraiement le cas, il est normal que tu te tape des log de ce genre.. Ouvre un FTP, tu verra que c'est la meme chose...

Et encore, je trouve qu'ils sont nuls les soit disant mechants hakerz, car ils utilisent en plus des noms d'utilisateurs loins d'etre celui par defaut.....

Vu le contexte de ne pas savoir mette un nom d'admin correct, tu peux dormir tranquil avant qu'ils trouvent en plus ton passs..

PS: En plus, la personne s'acharne visiblement sur une personne ciblée (contabil, contempo, cont*? )
micjack
Amiral
Amiral
 
Messages: 3113
Inscrit le: 06 Juin 2003 00:00
Localisation: Varois

Messagepar jibe » 10 Avr 2005 01:37

Salut,

Apparemment, tu as ouvert au public l'accès ssh... Est-ce bien nécessaire ? Un accès confidentiel (limité à ton LAN) me parait suffisant...

Tu administres ta SME à distance via internet ?

En tous cas, l'accès ssh ouvert au public, c'est sûr que tu vas avoir des tentatives d'intrusion. De là à ce qu'elles aboutissent si tu as des mots de passe corrects, il peut encore couler un peu d'eau sous les ponts. Mais bon, n'ouvre que ce qui est nécessaire... :wink:
"Le monde ne sera pas détruit par ceux qui font le mal, mais par ceux qui les regardent sans rien faire" (Albert Einstein)

Autrefois, l'Etat défendait des valeurs. Maintenant, il défend des profits... (Anne Haunnime)
Avatar de l’utilisateur
jibe
Amiral
Amiral
 
Messages: 4366
Inscrit le: 17 Oct 2003 00:00
Localisation: Haute Savoie

Messagepar MasterSleepy » 10 Avr 2005 09:01

Salut,

Si l'utilisation de ssh est nécessaire à distance, je te conseil de modifier le port du ssh.
Ca ce fait assez facilement en modifiant le fichier
/etc/ssh/sshd_config
Evidemment il faut utiliser les templates.

Ensuite il suffit d'ouvrir le port à l'extérieur avec l'excellente contrib de muzo.

A+
"Microsoft fera quelque chose qui ne plantera jamais quand ils commenceront à fabriquer des clous "
http://www.vanhees.cc
Avatar de l’utilisateur
MasterSleepy
Amiral
Amiral
 
Messages: 2625
Inscrit le: 24 Juil 2002 00:00
Localisation: Belgique

Attaque sur port 22, Modification des templates

Messagepar pascal_lucas » 10 Avr 2005 20:40

Merci pour vos avis,

En effet je compte mettre à disposition d'un des utilisateurs du serveur un accés aux différentes ibays par ssh (il me semble que ce système est beaucoup plus rassurant que le ftp).
Comme vous le précisez il est peut-être préférable de broullier les cartes en changeant le port d'accés ssh. Je vais étudier comment modifiier le template correspondant ( ce sera ma première modification.... un peu d'aide ou d'indications me seront peut-être utille...)

Donc si je vous comprend bien, ce type d'essais d'intrusion est courant et sans trop de risque sur un sme avec des mots de passe corrects (majuscule, minuscule, chiffres, et caractères spéciaux) ?
Ne rsique-t-il pas de ralentir les accés externes aux serveurs ?

A bientôt à tous,

Pascal
Avatar de l’utilisateur
pascal_lucas
Aspirant
Aspirant
 
Messages: 110
Inscrit le: 28 Nov 2003 01:00
Localisation: carvin

Messagepar Muzo » 11 Avr 2005 08:48

Salut,

Tout risque n'est pas négligeable. Maintenant, plus cela sera difficile, moins tu auras de chance que ce soit un hackerz de 14 ans. Et si il passe, ce sera un pro ou un doué, donc il cherchera des informations sensibles sans laisser de traces, et donc évitera tout défacement.

Mais bon on ne sait jamais.

/Muzo-mode-paranoïa-on
/Muzo
"La vie n'est pas un combat, mais une passion à défendre!" MASS HYSTERIA - Knowledge is power
Avatar de l’utilisateur
Muzo
Amiral
Amiral
 
Messages: 5236
Inscrit le: 07 Mai 2003 00:00
Localisation: BNF! Je me culturise.

Messagepar jibe » 12 Avr 2005 21:48

Salut,

J'avais vu des stats à ce sujet. Je les cite de tête, mais je ne crois pas me tromper beaucoup :

- Dès que tu es connecté sur internet, une tentative d'intrusion a lieu au bout de 15 mn
- Sous windows XP, une intrusion a lieu au bout de 18 mn (pas les mêmes sources, donc j'en déduis peut-être un peu vite qu'il faut à peine 3 mn pour passer toutes les "sécurités" de XP :lol: )

C'est un peu comme quand tu laisses ta voiture sur un parking dans un quartier louche : il ne faut pas longtemps pour que quelqu'un tente d'ouvrir ta portière. Cela ne veut pas forcément dire que ta voiture court un très grand risque, mais plus simplement qu'il faut éviter de la laisser ouverte...

A ma connaissance, ceux qui se sont fait pirater leur SME sont seulement ceux qui l'ont modifiée et qui, ce faisant, ont ouvert une porte... Maintenant, même avec des serrures inviolables, il est certain que plus tu crées de portes (même dûment verrouillées), plus tu donnes de possibilités...

Maintenant on pourrait débattre de ton choix : ssh plutôt que ftp... Pas bête du tout ! mais est-ce effectivement mieux sur une SME ? En parlant d'une config normale, bien sûr, non d'une SME modifiée, sinon, il faut bien connaitre les modifs apportées pour juger des effets, de même qu'il faut bien connaitre la SME pour la modifier proprement (templates...) et sans risques.

Dans ces conditions, si tu ouvres le ssh, tu l'ouvres pour toute la bécane, alors que tu peux limiter l'accès FTP à une ou plusieurs ibays. Donc, si le ssh est effectivement (avec une version corrigée :wink: ) plus sûr que FTP, le risque est plus grand en cas de pénétration par ssh que par FTP...
"Le monde ne sera pas détruit par ceux qui font le mal, mais par ceux qui les regardent sans rien faire" (Albert Einstein)

Autrefois, l'Etat défendait des valeurs. Maintenant, il défend des profits... (Anne Haunnime)
Avatar de l’utilisateur
jibe
Amiral
Amiral
 
Messages: 4366
Inscrit le: 17 Oct 2003 00:00
Localisation: Haute Savoie


Retour vers E-Smith / SME Server

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité

cron