Pages : 1
#1 Le 12/12/2007, à 03:00
- mfc_alpha
Tentative d'attaque? Et que faire contre un pirate!
Bonjour!
En consultant mes logs, je me suis rendu compte que j'ai un nombre considerable de tentative de connection pour root par Cron dans /var/log/auth.log
par exemple...
Dec 11 03:17:01 Hector CRON[9435]: (pam_unix) session closed for user root
Dec 11 03:39:01 Hector CRON[9440]: (pam_unix) session opened for user root by (uid=0)
Dec 11 03:39:02 Hector CRON[9440]: (pam_unix) session closed for user root
Dec 11 04:00:01 Hector CRON[9449]: (pam_unix) session opened for user root by (uid=0)
Dec 11 04:00:06 Hector CRON[9449]: (pam_unix) session closed for user root
Dec 11 04:02:01 Hector CRON[9520]: (pam_unix) session opened for user logcheck by (uid=0)
Dec 11 04:02:02 Hector CRON[9520]: (pam_unix) session closed for user logcheck
Dec 11 04:09:01 Hector CRON[9594]: (pam_unix) session opened for user root by (uid=0)
Dec 11 04:09:01 Hector CRON[9594]: (pam_unix) session closed for user root
Dec 11 04:17:01 Hector CRON[9603]: (pam_unix) session opened for user root by (uid=0)
Dec 11 04:17:01 Hector CRON[9603]: (pam_unix) session closed for user root
Dec 11 04:39:01 Hector CRON[9608]: (pam_unix) session opened for user root by (uid=0)
Dec 11 04:39:02 Hector CRON[9608]: (pam_unix) session closed for user root
et j'en ai des pages entieres....
Je voulais savoir quel moyen j'ai pour savoir d'ou ca vien?
Est ce possible que ca soit un processus system?
En plus de ca, j'ai clairement un guignole qui essaye d'attaquer ssh
(toujours ds le meme fichier)
Dec 9 11:54:48 Hector sshd[19856]: (pam_unix) check pass; user unknown
Dec 9 11:54:48 Hector sshd[19856]: (pam_unix) authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rh$
Dec 9 11:54:50 Hector sshd[19856]: Failed password for invalid user phg from ***** port 44406 ssh2
Dec 9 11:54:54 Hector sshd[19858]: Invalid user ppj from *****
Dec 9 11:54:54 Hector sshd[19858]: (pam_unix) check pass; user unknown
Dec 9 11:54:54 Hector sshd[19858]: (pam_unix) authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rh$
Dec 9 11:54:56 Hector sshd[19858]: Failed password for invalid user ppj from ***** port 38897 ssh2
Dec 9 11:55:00 Hector sshd[19860]: Invalid user phj from *****
Dec 9 11:55:01 Hector sshd[19860]: (pam_unix) check pass; user unknown
Dec 9 11:55:01 Hector sshd[19860]: (pam_unix) authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rh$
Dec 9 11:55:03 Hector sshd[19860]: Failed password for invalid user phj from ***** port 39940 ssh2
Dec 9 11:55:07 Hector sshd[19862]: Invalid user phk from *****
Dec 9 11:55:07 Hector sshd[19862]: (pam_unix) check pass; user unknown
Dec 9 11:55:07 Hector sshd[19862]: (pam_unix) authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rh$
Dec 9 11:55:09 Hector sshd[19862]: Failed password for invalid user phk from ***** port 60937 ssh2
Dec 9 11:55:14 Hector sshd[19864]: Invalid user phl from *****
(aller j'ai quand meme effacer son ip par pitié, mis vous pouvez quand meme voir que je n'ai pas d'utilisateur phl ou phk ... )
Et je voulais donc savoir si y a une procedur contre ce genre d'attaque?
J'ai envoyé un mail o responsable du domaine et apparement ca a suffit.
Mais que faire si ca recommence?
Merci pour vos precieux conseil
Mathieu
ps: la doc sur "que faire en cas de tentative d'intrusion" de ubuntu est tres utile!
Hors ligne
#2 Le 12/12/2007, à 03:10
- slasher_fun
Re : Tentative d'attaque? Et que faire contre un pirate!
Il faudrait que tu changes ton serveur ssh de port en le mettant sur un port compris entre 1025 et 65535 s'il est sur le port 22, ça limiterait les possibilités qu'il soit repéré par des scans...
Tu peux également essayer sshblack qui va bloquer une IP après un nombre déterminé de tentatives infructueuses de login : http://www.pettingers.org/code/sshblack.html
Dernière modification par slasher-fun (Le 12/12/2007, à 03:12)
Hors ligne
#3 Le 12/12/2007, à 03:13
- mfc_alpha
Re : Tentative d'attaque? Et que faire contre un pirate!
oui c'est vrai que c'est toujours une bonne idee!
Mais pas d'idee pour savoir d'ou peu venir la premiere serie de log?
Hors ligne
#4 Le 12/12/2007, à 03:19
- slasher_fun
Re : Tentative d'attaque? Et que faire contre un pirate!
cron -> opérations programées du système (cron est un planificateur de tà¢ches)
Hors ligne
#5 Le 12/12/2007, à 08:43
- paulnux
Re : Tentative d'attaque? Et que faire contre un pirate!
Il faudrait que tu changes ton serveur ssh de port en le mettant sur un port compris entre 1025 et 65535 s'il est sur le port 22, ça limiterait les possibilités qu'il soit repéré par des scans...
Tu peux également essayer sshblack qui va bloquer une IP après un nombre déterminé de tentatives infructueuses de login : http://www.pettingers.org/code/sshblack.html
Bonjour,
Question bete, pourquoi pas moins que 1025 ?
« Il y a beaucoup de causes pour lesquelles je suis prêt à mourir mais aucune cause pour laquelle je suis prêt à tuer. » Gandhi
Hors ligne
#6 Le 12/12/2007, à 12:54
- mfc_alpha
Re : Tentative d'attaque? Et que faire contre un pirate!
moins de 1024 c reserve http://en.wikipedia.org/wiki/List_of_TCP_and_UDP_port_numbers
amicalement
Hors ligne
#7 Le 12/12/2007, à 13:23
- paulnux
Re : Tentative d'attaque? Et que faire contre un pirate!
Merci pour votre reponse, j'aurai appris quelqque chose aujourd'hui.
J'ais un port libre de moins de 1025 (2 chriffres, je suis fainéant à taper ) pour SSH, c'est pour ca que je me posai la question.
Salutations
« Il y a beaucoup de causes pour lesquelles je suis prêt à mourir mais aucune cause pour laquelle je suis prêt à tuer. » Gandhi
Hors ligne
#8 Le 12/12/2007, à 13:35
- fugitif
Re : Tentative d'attaque? Et que faire contre un pirate!
Mais pas d'idee pour savoir d'ou peu venir la premiere serie de log?
Ce sont des tà¢ches qui se lancent via le dossier /etc/cron.d/ qui ont besoin d'être root pour fonctionner. Ici c'est logcheck et un autre script.
Opteron 165 - 2Go DDR - Ubuntu Hardy - 32bits
Hors ligne
#9 Le 12/12/2007, à 15:27
- Uggy
Re : Tentative d'attaque? Et que faire contre un pirate!
Pour SSH:
- Tu peux tres bien faire couter le service sur un port inférieur a 1024.
- La véritable solution n'est pas d'installer fail2ban ou de changer le port mais de n'authoriser les connexion SSH QUE par certificat et pas par "password".
(je n'ai pas connaissance d'attaque de brute force par certif )
Hors ligne
#10 Le 13/12/2007, à 02:13
- mfc_alpha
Re : Tentative d'attaque? Et que faire contre un pirate!
Effectivement ca dois etre bien long:D
Merci pour vos reponses!
Mais pas d'idee de procedure contre le hacker?
Bonne soirée
Hors ligne
#11 Le 13/12/2007, à 02:20
- slasher_fun
Re : Tentative d'attaque? Et que faire contre un pirate!
Tu parles de procédures judiciaires ? Faut porter plainte, dépot des logs en question, le tribunal choisit de classer sans suite ou de persévérer, demande au FAI de la personne correspondant à l'adresse IP, convocation, jugement...
Hors ligne
#12 Le 13/12/2007, à 15:13
- mfc_alpha
Re : Tentative d'attaque? Et que faire contre un pirate!
Bon, faudra y reflechir... mais bon!
Merci a tous!
Hors ligne
#13 Le 13/12/2007, à 18:43
- fugitif
Re : Tentative d'attaque? Et que faire contre un pirate!
Essai le firewall arno iptables firewall qui est super pour limiter les attaques par SSH. http://rocky.eld.leidenuniv.nl/
Opteron 165 - 2Go DDR - Ubuntu Hardy - 32bits
Hors ligne
Pages : 1