Attaque ?!?

par **ypolev** » 03 Oct 2005 13:54

Bonjour,

J'ai une SME 6.01 et en regardant mon log "messages" ce-matin il y une vingtaine de pages du type :

Oct 3 03:53:33 sme sshd[10833]: Failed password for root from 151.204.189.188 port 39562 ssh2
Oct 3 03:53:36 sme sshd[10835]: Failed password for root from 151.204.189.188 port 39649 ssh2
Oct 3 03:53:39 sme sshd[10837]: Failed password for root from 151.204.189.188 port 39734 ssh2
Oct 3 03:53:42 sme sshd[10839]: Failed password for root from 151.204.189.188 port 39815 ssh2
Oct 3 03:53:45 sme sshd[10841]: Failed password for root from 151.204.189.188 port 39900 ssh2
Oct 3 03:53:47 sme sshd[10843]: Failed password for root from 151.204.189.188 port 39982 ssh2
Oct 3 03:53:50 sme sshd[10845]: Failed password for root from 151.204.189.188 port 40070 ssh2

Toujours la même ip, en la tapant dans un navigateur je tombe sur la page d'un serveur apache tournant sur fedora, mais il a pas encore été configuré...

ça ressemble à une attaque de type "brute force" ou je suis parano ?

par **ypolev** » 03 Oct 2005 13:56

Un autre type de message :

Oct 3 03:28:31 sme sshd[9775]: Failed password for invalid user russ from 151.204.189.188 port 40807 ssh2
Oct 3 03:28:33 sme sshd[9777]: Invalid user white from 151.204.189.188
Oct 3 03:28:33 sme sshd[9777]: error: Could not get shadow information for NOUSER
Oct 3 03:28:33 sme sshd[9777]: Failed password for invalid user white from 151.204.189.188 port 40892 ssh2
Oct 3 03:28:36 sme sshd[9779]: Invalid user danny from 151.204.189.188
Oct 3 03:28:36 sme sshd[9779]: error: Could not get shadow information for NOUSER
Oct 3 03:28:36 sme sshd[9779]: Failed password for invalid user danny from 151.204.189.188 port 40976 ssh2
Oct 3 03:28:39 sme sshd[9781]: Invalid user filip from 151.204.189.188
Oct 3 03:28:39 sme sshd[9781]: error: Could not get shadow information for NOUSER
Oct 3 03:28:39 sme sshd[9781]: Failed password for invalid user filip from 151.204.189.188 port 41059 ssh2
Oct 3 03:28:42 sme sshd[9783]: Invalid user stephanie from 151.204.189.188

par **Gandalf** » 03 Oct 2005 14:10

ypolev a écrit:ça ressemble à une attaque de type "brute force" ou je suis parano ?

Salut, je pencherais aussi pour un brute force ! Tu peux remonter tes logs vers le FAI détenteur de l'IP !

par **jdh** » 03 Oct 2005 14:30

C'est surement une attaque par force brute. (Il y a eu un post du même genre il y a quelques jours).

Je t'encourage à trouver le moyen de "limiter" le port ssh.
Cela se fait au sein du script iptables avec une ligne du genre :

iptables ... -dport 22 ... -m state --state NEW -m limit --limit 2/min --limit-burst 3

Le module "limit" fait le boulot : ici 2 essais (nouvelles connexions) par minute cela devrait calmer !

par **guytou** » 03 Oct 2005 15:07

oui c'est bien une attaque

tu peut aussi desactiver ton ssh (dans le server-manager) si tu n'en as pas une reelle utilite.

A+

par **ypolev** » 03 Oct 2005 18:28

Merci pour vos réponses, j'ai désactivé l'accès par ssh en attendant de faire une règle iptable.

"L'attaque" était toujours en cours jusqu'à maintenant...

Gandalf, quand tu dis "Tu peux remonter tes logs vers le FAI détenteur de l'IP !" tu veux dire contacter le fai de l'ip concernée, leur dire que je suis victime d'une attaque de la part de un de leurs abonnés, et ?

par **fraedhrim** » 03 Oct 2005 19:03

Bof...

Je sais pas vous mais moi j'en vois tout le temps des trucs comme ça....
Le gugusse qui rentrera en brute force avec un login comme "rodriguez" ou "alvira" (véridique) chez moi faudra qu'il se lève tôt....

Donc à ta place je ne m'en ferais pas trop. Il suffit d'avoir une IP fixe (et encore) pour voir tous les script-kiddies du monde tenter des intrusions sur ton système.
Donc à ta place (bis) je m'assurerais juste que mes mots de passe sont robustes (suffisamment) : chiffres, lettres, majuscules, minuscules, autres caractères,etc...

A la limite ce qui serait bien c'est de pouvoir limiter l'accès en SSH depuis quelques adresses IP mais en standard dans SME ça n'a pas l'air faisable....

Et enfin faudrait voir si le serveur SSH de la SME a besoin d'être patché pour virer d'éventuelles vulnérabilités....

Mais à mon avis tu n'as pas trop à t'en faire.

Quant à remonter ça au FAI, à mon avis il ne doit plus savoir quoi en faire de ces réclamations. Cela dit ça vaudrait le coup d'essayer pour le fun....

A+

par **Gandalf** » 03 Oct 2005 21:11

ypolev a écrit:Gandalf, quand tu dis "Tu peux remonter tes logs vers le FAI détenteur de l'IP !" tu veux dire contacter le fai de l'ip concernée, leur dire que je suis victime d'une attaque de la part de un de leurs abonnés, et ?

Oui si l'attaque est conséquente ils peuvent peut-être agir, mais bon comme dit fraedhrim, il y en a pas mal qui s'en cognent ! Tout dépend du nombre d'attaque, mais ça vaut le coup d'essayer ! Tiens nous au courant si tu le fais !

par **micjack** » 03 Oct 2005 22:46

Pour etre pernnard, il faut changer le port par defaut (ce que j'ai fait depuis bien longtemp) depuis j'echape au scan.. Sauf si bien sûr, le scan renvoit le descriptif du port trouvé, mais la, le gus il en aurra mit un sacré paquet dans sa liste database sur plus de 65500 port et ne se serra pas contenté des ports usuels...

Le but de d'y coller un abuse ou une plainte , c'est un peu aleatoire, et peut bien souvant metre en demeure une personne qui n'a rien fait...

Attaque ?!?

Attaque ?!?

Re: Attaque ?!?

Qui est en ligne ?