Contenu | Rechercher | Menus

Annonce

Si vous avez des soucis pour rester connecté, déconnectez-vous puis reconnectez-vous depuis ce lien en cochant la case
Me connecter automatiquement lors de mes prochaines visites.

À propos de l'équipe du forum.

Pages : 1

#1 Le 12/12/2007, à 03:00

mfc_alpha

Tentative d'attaque? Et que faire contre un pirate!

Bonjour!
En consultant mes logs, je me suis rendu compte que j'ai un nombre considerable de tentative de connection pour root par Cron dans /var/log/auth.log
par exemple...

Dec 11 03:17:01 Hector CRON[9435]: (pam_unix) session closed for user root
Dec 11 03:39:01 Hector CRON[9440]: (pam_unix) session opened for user root by (uid=0)
Dec 11 03:39:02 Hector CRON[9440]: (pam_unix) session closed for user root
Dec 11 04:00:01 Hector CRON[9449]: (pam_unix) session opened for user root by (uid=0)
Dec 11 04:00:06 Hector CRON[9449]: (pam_unix) session closed for user root
Dec 11 04:02:01 Hector CRON[9520]: (pam_unix) session opened for user logcheck by (uid=0)
Dec 11 04:02:02 Hector CRON[9520]: (pam_unix) session closed for user logcheck
Dec 11 04:09:01 Hector CRON[9594]: (pam_unix) session opened for user root by (uid=0)
Dec 11 04:09:01 Hector CRON[9594]: (pam_unix) session closed for user root
Dec 11 04:17:01 Hector CRON[9603]: (pam_unix) session opened for user root by (uid=0)
Dec 11 04:17:01 Hector CRON[9603]: (pam_unix) session closed for user root
Dec 11 04:39:01 Hector CRON[9608]: (pam_unix) session opened for user root by (uid=0)
Dec 11 04:39:02 Hector CRON[9608]: (pam_unix) session closed for user root

et j'en ai des pages entieres....
Je voulais savoir quel moyen j'ai pour savoir d'ou ca vien?
Est ce possible que ca soit un processus system?

En plus de ca, j'ai clairement un guignole qui essaye d'attaquer ssh
(toujours ds le meme fichier)

Dec  9 11:54:48 Hector sshd[19856]: (pam_unix) check pass; user unknown
Dec  9 11:54:48 Hector sshd[19856]: (pam_unix) authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rh$
Dec  9 11:54:50 Hector sshd[19856]: Failed password for invalid user phg from ***** port 44406 ssh2
Dec  9 11:54:54 Hector sshd[19858]: Invalid user ppj from *****
Dec  9 11:54:54 Hector sshd[19858]: (pam_unix) check pass; user unknown
Dec  9 11:54:54 Hector sshd[19858]: (pam_unix) authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rh$
Dec  9 11:54:56 Hector sshd[19858]: Failed password for invalid user ppj from ***** port 38897 ssh2
Dec  9 11:55:00 Hector sshd[19860]: Invalid user phj from *****
Dec  9 11:55:01 Hector sshd[19860]: (pam_unix) check pass; user unknown
Dec  9 11:55:01 Hector sshd[19860]: (pam_unix) authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rh$
Dec  9 11:55:03 Hector sshd[19860]: Failed password for invalid user phj from ***** port 39940 ssh2
Dec  9 11:55:07 Hector sshd[19862]: Invalid user phk from *****
Dec  9 11:55:07 Hector sshd[19862]: (pam_unix) check pass; user unknown
Dec  9 11:55:07 Hector sshd[19862]: (pam_unix) authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rh$
Dec  9 11:55:09 Hector sshd[19862]: Failed password for invalid user phk from ***** port 60937 ssh2
Dec  9 11:55:14 Hector sshd[19864]: Invalid user phl from *****

(aller j'ai quand meme effacer son ip par pitié, mis vous pouvez quand meme voir que je n'ai pas d'utilisateur phl ou phk ... big_smile)
Et je voulais donc savoir si y a une procedur contre ce genre d'attaque?
J'ai envoyé un mail o responsable du domaine et apparement ca a suffit.
Mais que faire si ca recommence?

Merci pour vos precieux conseil wink

Mathieu

ps: la doc sur "que faire en cas de tentative d'intrusion" de ubuntu est tres utile!

http://mathux.org

Hors ligne

#2 Le 12/12/2007, à 03:10

slasher_fun

Re : Tentative d'attaque? Et que faire contre un pirate!

Il faudrait que tu changes ton serveur ssh de port en le mettant sur un port compris entre 1025 et 65535 s'il est sur le port 22, ça limiterait les possibilités qu'il soit repéré par des scans...

Tu peux également essayer sshblack qui va bloquer une IP après un nombre déterminé de tentatives infructueuses de login : http://www.pettingers.org/code/sshblack.html

Dernière modification par slasher-fun (Le 12/12/2007, à 03:12)

Je fais partie des cinq gus dans un garage qui font des mails à la chaîne

Hors ligne

#3 Le 12/12/2007, à 03:13

mfc_alpha

Re : Tentative d'attaque? Et que faire contre un pirate!

oui c'est vrai que c'est toujours une bonne idee!
Mais pas d'idee pour savoir d'ou peu venir la premiere serie de log?

http://mathux.org

Hors ligne

#4 Le 12/12/2007, à 03:19

slasher_fun

Re : Tentative d'attaque? Et que faire contre un pirate!

cron -> opérations programées du système (cron est un planificateur de tà¢ches)

Je fais partie des cinq gus dans un garage qui font des mails à la chaîne

Hors ligne

#5 Le 12/12/2007, à 08:43

paulnux

Re : Tentative d'attaque? Et que faire contre un pirate!

slasher-fun a écrit :

Il faudrait que tu changes ton serveur ssh de port en le mettant sur un port compris entre 1025 et 65535 s'il est sur le port 22, ça limiterait les possibilités qu'il soit repéré par des scans...

Tu peux également essayer sshblack qui va bloquer une IP après un nombre déterminé de tentatives infructueuses de login : http://www.pettingers.org/code/sshblack.html

Bonjour,
Question bete, pourquoi pas moins que 1025 ?

« Il y a beaucoup de causes pour lesquelles je suis prêt à  mourir mais aucune cause pour laquelle je suis prêt à  tuer. » Gandhi

Hors ligne

#6 Le 12/12/2007, à 12:54

mfc_alpha

Re : Tentative d'attaque? Et que faire contre un pirate!

moins de 1024 c reserve http://en.wikipedia.org/wiki/List_of_TCP_and_UDP_port_numbers
amicalement

http://mathux.org

Hors ligne

#7 Le 12/12/2007, à 13:23

paulnux

Re : Tentative d'attaque? Et que faire contre un pirate!

Merci pour votre reponse, j'aurai appris quelqque chose aujourd'hui.
J'ais un port libre de moins de 1025 (2 chriffres, je suis fainéant à  taper ) pour SSH, c'est pour ca que je me posai la question.
Salutations

« Il y a beaucoup de causes pour lesquelles je suis prêt à  mourir mais aucune cause pour laquelle je suis prêt à  tuer. » Gandhi

Hors ligne

#8 Le 12/12/2007, à 13:35

fugitif

Re : Tentative d'attaque? Et que faire contre un pirate!

mfc_alpha a écrit :

Mais pas d'idee pour savoir d'ou peu venir la premiere serie de log?

Ce sont des tà¢ches qui se lancent via le dossier /etc/cron.d/ qui ont besoin d'être root pour fonctionner. Ici c'est logcheck et un autre script.

Opteron 165 - 2Go DDR - Ubuntu Hardy - 32bits

Hors ligne

#9 Le 12/12/2007, à 15:27

Uggy

Re : Tentative d'attaque? Et que faire contre un pirate!

Pour SSH:
- Tu peux tres bien faire couter le service sur un port inférieur a 1024.
- La véritable solution n'est pas d'installer fail2ban ou de changer le port mais de n'authoriser les connexion SSH QUE par certificat et pas par "password".
(je n'ai pas connaissance d'attaque de brute force par certif wink )

Hors ligne

#10 Le 13/12/2007, à 02:13

mfc_alpha

Re : Tentative d'attaque? Et que faire contre un pirate!

Effectivement ca dois etre bien long:D
Merci pour vos reponses!
Mais pas d'idee de procedure contre le hacker?
Bonne soirée

http://mathux.org

Hors ligne

#11 Le 13/12/2007, à 02:20

slasher_fun

Re : Tentative d'attaque? Et que faire contre un pirate!

Tu parles de procédures judiciaires ? Faut porter plainte, dépot des logs en question, le tribunal choisit de classer sans suite ou de persévérer, demande au FAI de la personne correspondant à  l'adresse IP, convocation, jugement...

Je fais partie des cinq gus dans un garage qui font des mails à la chaîne

Hors ligne

#12 Le 13/12/2007, à 15:13

mfc_alpha

Re : Tentative d'attaque? Et que faire contre un pirate!

Bon, faudra y reflechir... mais bon!
Merci a tous!

http://mathux.org

Hors ligne

#13 Le 13/12/2007, à 18:43

fugitif

Re : Tentative d'attaque? Et que faire contre un pirate!

Essai le firewall arno iptables firewall qui est super pour limiter les attaques par SSH. http://rocky.eld.leidenuniv.nl/

Opteron 165 - 2Go DDR - Ubuntu Hardy - 32bits

Hors ligne

Pages : 1