Contenu | Rechercher | Menus

Annonce

Si vous avez des soucis pour rester connecté, déconnectez-vous puis reconnectez-vous depuis ce lien en cochant la case
Me connecter automatiquement lors de mes prochaines visites.

À propos de l'équipe du forum.

#1 Le 20/10/2014, à 09:37

nestapuccino

Serveur SSH stoppé et tentative d'intrusion

Bonjour,

Je possède une machine de développement OVH (une vieille distribution gentoo non mise à jour depuis longtemps avec un problème "portage" rendant toute installation de nouveau paquet impossible...)
Ce samedi, je ne pouvais plus accéder à ma machine via SSH ainsi qu'à l'interface d'administration du manager ovh accessible sur ma machine via le port 10000.
J'ai redémarré la machine et SSH a redémarré avec.
Lorsque j'étudie syslog, il me semble que la machine a été victime de plusieurs attaques d'IP chinoises et coréennes.

Voici un début de l'attaque

Oct 19 03:23:08 ns352204 sshd[30041]: Invalid user deployer from 221.146.74.146
Oct 19 03:38:47 ns352204 sshd[31364]: Did not receive identification string from 1.93.30.195
Oct 19 03:43:23 ns352204 sshd[31801]: Accepted keyboard-interactive/pam for root from 82.230.93.145 port 56424 ssh2
Oct 19 03:43:23 ns352204 sshd[31801]: subsystem request for sftp
Oct 19 03:57:07 ns352204 sshd[661]: error: PAM: Authentication failure for root from 1.93.30.195
Oct 19 03:57:12 ns352204 sshd[661]: error: PAM: Authentication failure for root from 1.93.30.195

Ca continue et termine une heure après

Oct 19 04:52:11 ns352204 sshd[6119]: Failed keyboard-interactive/pam for root from 1.93.30.195 port 44093 ssh2
Oct 19 04:52:14 ns352204 sshd[6119]: error: PAM: Authentication failure for root from 1.93.30.195
Oct 19 04:52:14 ns352204 sshd[6119]: Failed keyboard-interactive/pam for root from 1.93.30.195 port 44093 ssh2
Oct 19 04:52:19 ns352204 sshd[6119]: error: PAM: Authentication failure for root from 1.93.30.195
Oct 19 04:52:19 ns352204 sshd[6119]: Failed keyboard-interactive/pam for root from 1.93.30.195 port 44093 ssh2
Oct 19 04:52:22 ns352204 sshd[6119]: error: PAM: Authentication failure for root from 1.93.30.195
Oct 19 04:52:22 ns352204 sshd[6119]: Failed keyboard-interactive/pam for root from 1.93.30.195 port 44093 ssh2

Est-ce possible qu'une telle attaque, même si elle échoue, puisse faire planter mon serveur ssh ? ou est-ce fail2ban qui couperait ssh afin de protéger la machine de l'attaque ?

ps : J'essaie de lister les paquets installés sur ma machine gentoo, selon ce que je peux lire sur internet via la commande "equery list" mais il ne connait pas cette commande, quelqu'un sait comment je peux connaitre la version de fail2ban sur cette vieille distrib ? D'ailleurs je ne suis même pas sûr que fail2ban soit installé sur cette machine (je n'ai pas installé cette machine vieille de quasiment dix ans), j'essaie de le trouver là.

Merci beaucoup par avance pour vos réponses.

Dernière modification par nestapuccino (Le 20/10/2014, à 09:49)

Hors ligne

#2 Le 20/10/2014, à 09:50

sinbad83

Re : Serveur SSH stoppé et tentative d'intrusion

As-tu regardé le log de fail2ban (/var/log/fail2ban.log) ? et le log d'authentification SSH (/var/log/auth.log)  pour approfondir ?


La connaissance n'est pas une denrée rare, il faut la partager avec les autres.
Linux registered #484707
Site: www.coursinforev.org/doku.php
Desktop AMD Ryzen 5-3600, RAM 16GB, Ubuntu 20.10,   HP Pavillon G6 Ubuntu 20.10 et Ten, Serveur Ubuntu 18.04

Hors ligne

#3 Le 20/10/2014, à 09:50

cyanure82

Re : Serveur SSH stoppé et tentative d'intrusion

Hello Nesta

ça sent le dos / ssh flooding quesque tu en penses ?
Un shell shock aurait reussi sur une ancienne gentoo, sauf si tu as mis a jour, ou peut-etre qu'il a reussi  a entrer mais pas se loguer.

Quoi qu'il en soit :

1. mettre a jour le shell d'urgence
2. check http://forum.ovh.com/showthread.php?816 … -SYN-flood
3. http://www.webhostingtalk.com/showthread.php?t=456571

n' hésites pas

Dernière modification par cyanure82 (Le 20/10/2014, à 09:51)

Hors ligne

#4 Le 20/10/2014, à 10:02

nestapuccino

Re : Serveur SSH stoppé et tentative d'intrusion

sinbad83 a écrit :

As-tu regardé le log de fail2ban (/var/log/fail2ban.log) ? et le log d'authentification SSH (/var/log/auth.log)  pour approfondir ?

Je regarde là, il semblerait que de nouvelles attaques aient lieu en ce moment même :

/var/log/auth.log

Oct 20 03:59:54 ns352204 sshd[17779]: Invalid user gitosis from 221.146.74.146
Oct 20 05:11:15 ns352204 sshd[24040]: Invalid user gitosis from 221.146.74.146
Oct 20 06:05:01 ns352204 sshd[28690]: Invalid user gituser from 221.146.74.146
Oct 20 07:16:31 ns352204 sshd[2920]: Invalid user gouveia1 from 221.146.74.146
Oct 20 08:05:23 ns352204 sshd[7272]: Invalid user gpadmin from 221.146.74.146
Oct 20 08:56:38 ns352204 sshd[11804]: Invalid user guest from 221.146.74.146
Oct 20 10:01:09 ns352204 sshd[17917]: Invalid user hadoop from 221.146.74.146
Oct 20 10:25:28 ns352204 sshd[19928]: pam_unix(sshd:auth): conversation failed
Oct 20 10:25:28 ns352204 sshd[19928]: pam_unix(sshd:auth): auth could not identify password for [root]
Oct 20 10:25:28 ns352204 sshd[19928]: error: ssh_msg_send: write
Oct 20 11:12:49 ns352204 sshd[24852]: Invalid user hbistc from 221.146.74.146
Oct 20 11:14:11 ns352204 sshd[24946]: Invalid user a from 58.241.61.162

Malheureusement je crois que fail2ban n'est même pas installé sur cette machine et lorsque je tente de l'installer via la commande emerge, j'ai le problème dont j'ai parlé plus haut qui fait que l'on ne peut plus rien installer sur cette machine

emerge --ask net-analyzer/fail2ban
!!! Unable to parse profile: '/etc/make.profile'
!!! ParseError: Profile contains unsupported EAPI '5': '/usr/portage/profiles/default/linux/x86/13.0/eapi'
!!! If you have just changed your profile configuration, you should revert
!!! back to the previous configuration. Due to your current profile being
!!! invalid, allowed actions are limited to --help, --info, --sync, and

Quelqu'un serait-il un connaisseur de vieilles machines gentoo ovh bloquées ?!

Hors ligne

#5 Le 20/10/2014, à 11:31

mazarini

Re : Serveur SSH stoppé et tentative d'intrusion

Pour résoudre ton problème de "portage" : https://forums.gentoo.org/viewtopic-p-7322574.html
Autrement, il n'est pas impossible qu'OVH ait "coupé" ta machine si quelqu'un en avait pris le controle.


S'il existait une école de la politique, les locaux devraient être édifiés rue de la Santé. Les élèves pourraient s'habituer. (Pierre Dac)

Hors ligne

#6 Le 21/10/2014, à 09:49

tiramiseb

Re : Serveur SSH stoppé et tentative d'intrusion

Salut,

une vieille distribution gentoo non mise à jour depuis longtemps

Rien qu'en lisant ça, un seul mot me vient à la bouche : réinstallation.

Hors ligne