PLainte pour attaque Internet.

[Genius999]

Bonjour,
L'une des sociétés dont je m'occupe vient de recevoir un mail d'une personne se plaignant d'être sujette a des attaques provenant de l'adresse publique fixe de ladite entreprise.

Voila une copie du fichier log de sont firewall :

auth.log:Jun 5 15:36:35 ip-164 sshd[7819]: Failed password for invalid user root from xxx.xxx.xxx.xxx port 51597 ssh2
auth.log:Jun 5 15:36:39 ip-164 sshd[7821]: Failed password for invalid user admin from xxx.xxx.xxx.xxx port 51668 ssh2
auth.log:Jun 5 15:36:43 ip-164 sshd[7824]: Failed password for invalid user test from xxx.xxx.xxx.xxx port 51707 ssh2
auth.log:Jun 5 15:36:51 ip-164 sshd[7826]: Failed password for invalid user guest from xxx.xxx.xxx.xxx port 51799 ssh2
auth.log:Jun 5 15:36:52 ip-164 sshd[7828]: Failed password for invalid user webmaster from xxx.xxx.xxx.xxx port 51985 ssh2
auth.log:Jun 5 15:36:59 ip-164 sshd[7830]: Failed password for invalid user mysql from xxx.xxx.xxx.xxx port 52015 ssh2
auth.log:Jun 5 15:37:00 ip-164 sshd[7832]: Failed password for invalid user oracle from xxx.xxx.xxx.xxx port 52189 ssh2
auth.log:Jun 5 15:37:02 ip-164 sshd[7834]: Failed password for invalid user library from xxx.xxx.xxx.xxx port 52228 ssh2
auth.log:Jun 5 15:37:05 ip-164 sshd[7836]: Failed password for invalid user info from xxx.xxx.xxx.xxx port 52259 ssh2
auth.log:Jun 5 15:37:06 ip-164 sshd[7838]: Failed password for invalid user shell from xxx.xxx.xxx.xxx port 52360 ssh2
auth.log:Jun 5 15:37:07 ip-164 sshd[7840]: Failed password for invalid user linux from xxx.xxx.xxx.xxx port 52384 ssh2
auth.log:Jun 5 15:37:11 ip-164 sshd[7842]: Failed password for invalid user unix from xxx.xxx.xxx.xxx port 52399 ssh2
auth.log:Jun 5 15:37:13 ip-164 sshd[7844]: Failed password for invalid user webadmin from xxx.xxx.xxx.xxx port 52512 ssh2
auth.log:Jun 5 15:37:14 ip-164 sshd[7846]: Failed password for invalid user ftp from xxx.xxx.xxx.xxx port 52550 ssh2
auth.log:Jun 5 15:37:20 ip-164 sshd[7848]: Failed password for invalid user test from xxx.xxx.xxx.xxx port 52573 ssh2
auth.log:Jun 5 15:37:21 ip-164 sshd[7850]: Failed password for invalid user root from xxx.xxx.xxx.xxx port 52656 ssh2
auth.log:Jun 5 15:37:22 ip-164 sshd[7852]: Failed password for invalid user admin from xxx.xxx.xxx.xxx port 52696 ssh2
auth.log:Jun 5 15:37:24 ip-164 sshd[7855]: Failed password for invalid user guest from xxx.xxx.xxx.xxx port 52729 ssh2
auth.log:Jun 5 15:37:25 ip-164 sshd[7857]: Failed password for invalid user master from xxx.xxx.xxx.xxx port 52762 ssh2
auth.log:Jun 5 15:37:25 ip-164 sshd[7859]: Failed password for invalid user apache from xxx.xxx.xxx.xxx port 52789 ssh2
auth.log:Jun 5 15:37:33 ip-164 sshd[7861]: Failed password for invalid user root from xxx.xxx.xxx.xxx port 52806 ssh2
messages:Jun 5 15:36:35 ip-164 sshd[7819]: Failed password for invalid user root from xxx.xxx.xxx.xxx port 51597 ssh2
messages:Jun 5 15:36:39 ip-164 sshd[7821]: Failed password for invalid user admin from xxx.xxx.xxx.xxx port 51668 ssh2
messages:Jun 5 15:36:43 ip-164 sshd[7824]: Failed password for invalid user test from xxx.xxx.xxx.xxx port 51707 ssh2
messages:Jun 5 15:36:51 ip-164 sshd[7826]: Failed password for invalid user guest from xxx.xxx.xxx.xxx port 51799 ssh2
messages:Jun 5 15:36:52 ip-164 sshd[7828]: Failed password for invalid user webmaster from xxx.xxx.xxx.xxx port 51985 ssh2
messages:Jun 5 15:36:59 ip-164 sshd[7830]: Failed password for invalid user mysql from xxx.xxx.xxx.xxx port 52015 ssh2
messages:Jun 5 15:37:00 ip-164 sshd[7832]: Failed password for invalid user oracle from xxx.xxx.xxx.xxx port 52189 ssh2
messages:Jun 5 15:37:02 ip-164 sshd[7834]: Failed password for invalid user library from xxx.xxx.xxx.xxx port 52228 ssh2
messages:Jun 5 15:37:05 ip-164 sshd[7836]: Failed password for invalid user info from xxx.xxx.xxx.xxx port 52259 ssh2
messages:Jun 5 15:37:06 ip-164 sshd[7838]: Failed password for invalid user shell from xxx.xxx.xxx.xxx port 52360 ssh2
messages:Jun 5 15:37:07 ip-164 sshd[7840]: Failed password for invalid user linux from xxx.xxx.xxx.xxx port 52384 ssh2
messages:Jun 5 15:37:11 ip-164 sshd[7842]: Failed password for invalid user unix from xxx.xxx.xxx.xxx port 52399 ssh2
messages:Jun 5 15:37:13 ip-164 sshd[7844]: Failed password for invalid user webadmin from xxx.xxx.xxx.xxx port 52512 ssh2
messages:Jun 5 15:37:14 ip-164 sshd[7846]: Failed password for invalid user ftp from xxx.xxx.xxx.xxx port 52550 ssh2
messages:Jun 5 15:37:20 ip-164 sshd[7848]: Failed password for invalid user test from xxx.xxx.xxx.xxx port 52573 ssh2
messages:Jun 5 15:37:21 ip-164 sshd[7850]: Failed password for invalid user root from xxx.xxx.xxx.xxx port 52656 ssh2
messages:Jun 5 15:37:22 ip-164 sshd[7852]: Failed password for invalid user admin from xxx.xxx.xxx.xxx port 52696 ssh2
messages:Jun 5 15:37:24 ip-164 sshd[7855]: Failed password for invalid user guest from xxx.xxx.xxx.xxx port 52729 ssh2
messages:Jun 5 15:37:25 ip-164 sshd[7857]: Failed password for invalid user master from xxx.xxx.xxx.xxx port 52762 ssh2
messages:Jun 5 15:37:25 ip-164 sshd[7859]: Failed password for invalid user apache from xxx.xxx.xxx.xxx port 52789 ssh2
messages:Jun 5 15:37:33 ip-164 sshd[7861]: Failed password for invalid user root from xxx.xxx.xxx.xxx port 52806 ssh2

Que puis je faire pour régler le problème? Un virus serait il a l'origine des ces problèmes?

Merci d'avance.

[MasterSleepy]

Salut,

Cela provient surement d'un script kiddies.
Il essaye plusieurs utilisateur défini par défaut en linux avec les différentes distrib et essaye un dictionnaire de mot de passe.
C'est assez classique comme attaque mais si ta politique de sécurité est un minimum sécurisé cela ne devrait pas géner.
Moi en général je déplace le ssh sur un port quelconque pour limiter ce genre de scripte.

A+
[MODE EDIT]
Bon j'avais pas bien lu, milles excuses...
[/MODE EDIT]

[Gandalf]

Salut, y aurait-il quelqu'un au sein de la dite société qui s'amuse ? Le port SSH est-il fermé en sortie sur l'équipement de sortie ( FW, routeur ) de cette boite ?

[Genius999]

auth.log:Jun 5 15:36:35 ip-164 sshd[7819]: Failed password for invalid user root from xxx.xxx.xxx.xxx port 51597 ssh2

D'apres le message, c'est de l'adresse xxx.xxx.xxx.xxx que proviennent les attaques, on est bien d'accord?
Cette adresse xxx.xxx.xxx.xxx est l'adresse fixe que m'a attribué mon FAI. C'est donc un des postes de mon réseau ayant accès a internet qui fait des attaques sur le pc de la personne qui m'a envoyé la plainte.
Et c'est la que je seche, comment trouver le poste coupable et comment le faire cesser?

[jdh]

tcpdump ?

Par ailleurs, est-il souhaitable d'autoriser n'importe quel PC à faire du ssh vers l'extérieur ?

On voit bien qu'il est NECESSAIRE de filter en sortie (et non d'autoriser tout de Green vers Red, comme par défaut dans un IPCOP installé de frais !).

Autrement dit, quand j'installe un IPCOP (ou un boitier hardware), ai-je un bon niveau de sécurité ? La réponse est bien sur NON ! Ce n'est pas parce que j'installe un "bon" élément que j'ai une "bonne" sécurité, c'est parce que j'ai fait les "bons" réglages.

[Gandalf]

Dans un premier temps c'est pas compliqué : tu fermes le SSH en sortie, et tu pars à la recherche de tous les styles de merdouilles : virus, troyens .... Au moins comme ça le plaignant ne se plaindra plus et toi tu es sûr de ne rien avoir de louche en interne !
Dans un deuxième temps, tu sniffes ce qui arrive sur ton élément filtrant ( qu'est-ce donc d'ailleurs ?) et tu cherches d'où viennent les attaques ( tu vas retrouver l'IP en interne ) ! La suite, c'est à toi de voir !

Bonne continuation !

[S0l0]

D'apres les logs que tu as poster cela ressemble a un 'vieux' virus qui attaquait ssh par brute force.
--edit
sshblack je viens de retrouver le liens qui en parlait il y a longtemps.....
mis ici http://solo-web.ifrance.com/sshbmack.html

[Genius999]

Merci beaucoup pour toutes vos réponses.
J'ai déjà réussis à voir l'ip d'ou venait l'attaque qui a contaminé mon serveur (linux debian).
Je vais me pencher sur ce sshblack.