Ubuntu-fr

Tao

Re : tentative d'attaque par ssh ?

Attention Axel ! Ce n'est pas tant ce qu'on peut prendre ou faire à ton ordi que ce qu'on peut surveiller ou ce qu'on peut utiliser comme "passerelle"... Je m'explique :
- pour la surveillance, on peut attendre que tu te connecte sur ta banque et chopé très facilement ton mot de passe (car il ne s'agit plus de decrypter quoi que ce soit, il suffit de surveiller des entrees au clavier). Pareil si tu fais des piaiement en ligne avec carte de crédit, à partir du moment ou on a reussit à avoir un acces siffusant, on installe une "backdoor" et ensuite c'est un jeu d'enfant.
- on peut aussi ce servir de ton ordi pour faire des choses ailleurs : pour pirater (ou essayer) un site important (banque, etc...), on essayera toujours d'acceder a un ordi tiers et ensuite se connecter à site visé. Comnme a, si la banque découvre l'attaque, bah c'est toi qu'on accuse.
- on pourrait aussi se servir de ton ordi comme serveur pour stocker des données illégales (pornographiques par exemple). Pareil, tu risques de te retrouver devant un juge Un bon avocat devrait te sortir du trouble, mais c'est quand même pas la joie...

Ce ne sont pas les données sur ton disque dur qui les interresse en tout cas !!! Et encore moins de faire un qqun formatage, dans ce cas ils perderaient toutes possibilitées de retourner sur ton ordi facilement. En général, c'est à l'opposé du formatage : on va au contraire effacer un maximum de trace possible de l'intrusion, et juste laisser la fameuse backdoor bien cacheé...

Je dirais même qu'une attaque réussie ne se voit pas dasn les log, car c'est le premier endroit où on efface toutes nos traces, du moins si le pirate n'est pas un charlot !

Pour Dicicat : une tentative d'attaque, même echouée, est très mauvais signe car a veut dire qu'on peut facilement avoir ton IP, et donc qu'un autre pirate plus doué va peut etre aussi tomber sur toi prochainement Le plus doué (ou le même un jour où il sera plus acharné) va par exemple scanner tes ports, tenter de voir quels sont les versions de tes serveurs, consulter une base de données des failles de sécurité pour cette version et foncer sur ton comme une bête féroce ! Le pire, c'est que ce n'est même pas si dur que ça (Google : "nessus" pour les curieux, et se le faire à soit même c'est très bon pour voir toutes les failles et tenter de les combler...)

Pour Axel encore : ce sont des Ubuntu "normaux", à partir du moment ou tu as au moins mis les paquets d'un serveur... (ssh, ftp, apache, vnc, samba...)

Dernière modification par Tao (Le 22/04/2005, à 14:35)

Tao

Re : tentative d'attaque par ssh ?

pour voir comment se déroule une attaque classique :
http://www.commentcamarche.net/secu/secumet.php3

C'est un peu basique, mais ça vous permettra de comprendre un peu mieux comment on vous attaque habituellement, et donc peut-être mieux vous protéger

Dernière modification par Tao (Le 22/04/2005, à 15:06)

Axel

Re : tentative d'attaque par ssh ?

Pour Axel encore : ce sont des Ubuntu "normaux", à partir du moment ou tu as au moins mis les paquets d'un serveur... (ssh, ftp, apache, vnc, samba...)

Donc par définition ce n'est pas un ubuntu "normal" (tout comme de l'eau avec du sirop de menthe n'est plus de l'eau "normale")

Sinon, faut s'incrire où pour que les pirates ils uploadent des données pornographiques sur mon DD ?

Tao

Re : tentative d'attaque par ssh ?

mouais, mais qui n'a pas ajouté un seul paquet après son installation ? Bon j'avoue, pas forcement des paquets de serveur, mais bon. Quoique, vnc est installé par défaut, mais pas activé : il suffit juste de cocher une case et tu as un serveur actif (non sécurisé de surcroît, vnc n'est pas crypter pantoute, d'où l'intérêt de la faire passer par un tunnel ssh...) !

Quand je disais porno, je voulais en fait dire pédophile aussi (c'est pas du tout pareil je sais). La c'est peut-etre moins drole

Qui sait, le jour où la législation sera plus dure, peut-être certaines personnes utiliseront cette backdoor pour faire tourner emule sur des mp3, en vous faisont courir le risque à leur place de vous faire poursuivre par les compagnies de disques ? Qui sait, rien n'est impossible dans ce bas monde... Bien que d'ici là, les clients p2p auront peut-être évolués vers des solutions plus sures de cryptage et d'anonymat

En réalité, à moins d'être un génie (et encore), notre système ne sera jamais infaillible. Par contre, ce qui peut nous sauver, c'est qu'il y ait toujours d'autres cibles aussi interressantes que nous mais plus facile à attaquer... Et comme généralement le monde est partisant du moindre effort, je vois pas pourquoi ce serait différent pour les pirates ! En gros, pour eviter la foudre, le meilleur moyen est de mettre un paratonnerre...sur le toit du voisin !

Tao

Re : tentative d'attaque par ssh ?

pour être un peu parano, il y a sûrement bien des moyens d'essayer d'attaquer une Ubuntu, même "normal" : rien que dans la synchronisation avec le serveur de l'horloge, peut-être y a-t-il moyen d'y trouver une faille. Si tu partages des dossiers sur un reseau local, ça veut dire que ton serveur samba (ou autre si c'est pas un reseau de type "microsoft") est actif, etc...

Et puis c'est pas parce que vous penser que votre port est caché derrière un routeur que tout est garantie : on peut passer par l'ordi de votre coloc pour ensuite mieux s'attaque au votre sans être gêner par le firewall intégré au routeur.

Enfin, faut pas non plus être trop parano, car il y a surement des ordis plus facile à infecter dans ce cas là, il faudrait vraiment que vous tombiez sur un acharné qui en veut Je dis plus ça pour dire qu'on n'est pas dans une petite bulle increvable, même si on pense ne pas avoir fait trop de conneries avec son PC.

devloop

Re : tentative d'attaque par ssh ?

on m'avais parlé de ces attaques sur le port ssh mais au début j'y avais pas cru
en fait il existe quelques tools qui se basent sur une librarie qui s'appelle libssh et qui permettent de tester des combinaisons login/password...
visiblement il y a des personnes qui n'hésitent pas à scanner une tonne de machines et à essayer de trouver un account
en tout cas ce n'est pas nouveau, j'avais déjà lu ça sur des listes de sécurité il y a deux mois, et les ips venaint aussi de la corée...
c'est surrement les chinois du FBI

---

devloop

coffee

Re : tentative d'attaque par ssh ?

la seul faille ntp que je connaisse permet de decouvrir un reseau en rebondissant sur les serveurs ntp pour savoir qui donne l'heure, donc juste une decouverte de réseau...

Pour ssh, on peut jouer sur les IPs et en authoriser certaines et en bloquant d'autre

---

Nom d'un tupperware habillé en streetware mangeant de la confiture de pouère et qui se dite où est-ce que je suis ouère !
Tiens mon blog
Les blagues sous forme de fausses aides sont susceptible de ban (ex: rm)

Tao

Re : tentative d'attaque par ssh ?

Je donnais juste ntp comme une idée d'exemple, juste pour dire qu'on ne pense pas toujours à tout (quoi de plus insignifiant que la synchronisation d'une horloge?), pas pour dire que ntp était dangereux

Sinon n'autoriser que quelques ip, c'est bien beau, mais on ne sait pas forcément d'où on va se connecter sur notre ordi. De plus, chez les particuliers, les ip sont presques toujours dynamiques, donc je ne peux pas faire grand chose... Et je ne connais pas non plus les ip des futurs personnes qui vont m'attaquer ! La seule solution que je verrai, c'est de passer systématiquement par un serveur tiers où j'ai un compte et qui a une ip fixe pour me connecter, mais ça fait plus de manips que je n'en veux. Mais au moins je pourrais n'autiriser que les connections venant de cette ip, ce serait pas mal plus sécuritaire il est vrai. Pas que ce soit dur de falsifier l'ip de provenance, mais il faut le savoir que mon ordi ne repondra qu'avec cet ip

NB : en tout cas, je ne m'attandais pas à ce que mon post ait autant de succès Dommage qu'il n'y ai pas autant de réponses quand c'est pour résoudre un problème...

Dernière modification par Tao (Le 22/04/2005, à 19:42)

coffee

Re : tentative d'attaque par ssh ?

J'avais compris mais dans certains domaines, ntp peut etre dangereux car connaitre un réseau peut etre dangereux dans certaines situations je pense.

Pour l'IP, je me demandais, et si on utilisait une dns statique sur IP dynamique à la no-ip?

Pour les réponses, faut souvent connaitre, là c'est que de la reflexion, du Troll bien poilu

---

Nom d'un tupperware habillé en streetware mangeant de la confiture de pouère et qui se dite où est-ce que je suis ouère !
Tiens mon blog
Les blagues sous forme de fausses aides sont susceptible de ban (ex: rm)

Tao

Re : tentative d'attaque par ssh ?

J'ai pas compris la dernière phrase...

Pour autoriser une IP dynamique à partir d'une dns statique, ça doit surement être possible... en cherchant un peu (beaucoup). Sur le principe en tout cas, je ne vois pas pourquoi on ne pourrait pas le faire : un script pourrait regarder régulièment quel est l'IP à jour, et dire au serveur ssh de n'autoriser que celle-là. Ce serait moins limitant que de se limiter à des ip statique, mais c'est limitant un peu quand même.

Pour la découverte de réseau, ou ça peut être dangeureux, mais rarement pour les situations habituelles prévus par les objectifs de la distribution Ubuntu. Bien que...

Gillaume

Re : tentative d'attaque par ssh ?

dns statique sur IP dynamique à la no-ip ????
expliquez moi, SVP, je comprends pas ce concept ....

je suis ce dialogue avec bcp d'interet, vu que mon serveur ssh est solicité par un koréen 1 fois tous les deux jours en moyenne.....

une autre question, pour eviter que ssh, et proftpd ne démarre au boot de la machine, y a t il un autre moyen de les lancer, a la main par exemple; sans avoir a faire sudo chmod -x /etc/init.d/ssh ?

je sais pas si je suis assez clair ??!!

---

Guili Guili

Tao

Re : tentative d'attaque par ssh ?

no-ip permet de s'enregistrer auprès d'eux pour y avoir un compte qui te permet d'avoir un dns statique associée à ton PC.

Je m'explique : souvent, un ordi personnel voie son ip changer régulièrement par son FAI, difficile donc d'accèder à son PC à distance ! On peut donc faire tourner un processus sur son PC qui va dire régulirement au serveur de no-ip "coucou, je suis là, met à jour mon ip dans ta base de données". Ainsi, en faisant appel au DNS gracieusement fourni par no-ip pour ton compte, tu seras dirigé directement vers l'ip à jour de ta machine.

Voila, grace à ça, où que tu sois dans le monde, tu pourras accèder à ton ordi même si ton FAI ne te fourni pas d'IP statique. Par exemple avec :
ssh lenomdetoncompte.no-ip.com

Définitions au cas où : statique signifie "qui ne change pas", dynamique "qui peut changer au cours du temps, selon des facteurs externes"

NB : no-ip est gratuit

Tao

Re : tentative d'attaque par ssh ?

http://www.no-ip.com

Et le processus magique existe en version linux/windows/mac_os
La version linux est même accessible via synaptic

EDIT :
Au passage, ça serait bien de faire un tuto expliquant de a à z comment accèder à distance à son ordi :
- enregistrement auprès de no-ip
- installation du processus de no-ip
- configuration du serveur ssh et VNC
- comment creer un tunnel ssh pour VNC vers sa machine distante quand l'ordi local est sous linux ou sous windows (putty)
- lancer le client VNC

Je le ferais bien moi-même mais j'ai pas tellement de temps en ce moment DOnc si ça tente qqun, qu'il n'hésite pas ! Je suis sur que beaucoup de monde trouvera ça bien utile ! Tant qu'à y être, je suis certain que bien du monde aurait intérêt à découvrir le sftp aussi...

NB : connection haute vitesse indipensable, sinon se limiter au ssh (c'est déjà bien utile parfois)

Dernière modification par Tao (Le 24/04/2005, à 20:51)

Gillaume

Re : tentative d'attaque par ssh ?

oui, ok Tao, mais quoi rajouter, pour augmenter la securité dans sshd_config ?
quel est le rapport avec no-ip, que j'ai installé sur ma bécane depuis le début ....

explique moi !

---

Guili Guili

Axel

Re : tentative d'attaque par ssh ?

Personnellement je trouve qu'une ip dynamique c'est beaucoup plus sécurisé qu'une ip fixe.
Ben oui, si vous changez constamment d'adresse c'est pas evident de vous rattraper.

Prosper

Re : tentative d'attaque par ssh ?

J'arrive surement un peu tard mais le même topic est passé sur le forum francophone gentoo.
La discussion a abouti sur la création d'un programme qui permet de bannir temporairement une ip si l'on voit que plusieurs tentatives de log sont effectuées.

Le principe est un scan des logs avec ajout/suppression de règles iptables (ipfw, ipfwadm).

Le programme s'appelle fail2ban, dispo sur sourceforge
http://fail2ban.sourceforge.net/

Gillaume

Re : tentative d'attaque par ssh ?

non non Prosper, c'est pas trop tard.
peux tu expliquer le principe de fail2ban ? STP ? 

pour l'explication sur NOIP de tao,
quoi rajouter, pour augmenter la securité dans sshd_config ?

---

Guili Guili

Tao

Re : tentative d'attaque par ssh ?

Pour no-ip, c'était plutot une idée de coffee à la base... Je crois qu'il tentait de résoudre le problème que j'ennoncais plus haut : si on sait de quel ordinateur on se connecte habituellement sur sa machine, mais que ces premières n'ont pas d'ip fixes, comment faire pour dire à notre machine de n'accepter que les requètes de ces ordis.

La solution serait de mettre un no-ip sur chacun de ces ordi, et d'écrire un programme sur notre machine qui irait vérifier quelles sont les ip des ordis autorisés et d'interdire tous les autres. Tout ça était théorique car le programme dont je parle je ne l'ai jamais écrit (et coffee non plus je crois)... Je n'ai pas fait de recherche non plus, peut-être que qqun dans le monde y a déjà pensé. Sinon a toi de jouer, ça doit pas être si long

C'est bien ça que tu suggérais Coffee ?

Axel

Re : tentative d'attaque par ssh ?

Ya un truc que je comprends pas très bien. Mais si on parle de ssh, a priori on parle de se connecter à notre machine à distance.
Or, dans la majorité des cas, on ne fait pas ça à partir d'un million de machine mais plutot à partir de postes très localisé (a partir du boulot généralement)

Le nombre d'ip fixe a autorisé est donc très très faible.
Quand au nombre d'ip dynamique, la encore il n'est surement pas nécessaire d'installé no-ip sur un nombre très important de machine (mais no-ip est, a mon sens, une mauvaise chose pour la sécurité de la machine "no-ip-isée")

Tao

Re : tentative d'attaque par ssh ?

bah dans mon cas je me connecte à mon ordi a partir du boulot (ip fixe donc pas de problème) mais aussi de chez ma copine... qui a une ip dynamique, donc je ne peux pas construire une table d'ip à autoriser directement ! Et c'est pour ce problème que j'essayais de trouver une solution...

En effet, no-ip n'est peut-être pas l'idéal pour la sécurité, quoique sans doute moins que d'avoir une ip fixe, non ? A moins que le protocole soit insuffisament sécurisé et qu'on utilise le même mot de passe partout ! Je me trompe ?

Y a-t-il une autre solution qu'un dns statique pour avoir accès à une machine à ip dynamique ? Je pense que no-ip ou un des ses concurents pour le dns, ça revient au même...

Dernière modification par Tao (Le 25/04/2005, à 16:47)

Tao

Re : tentative d'attaque par ssh ?

en relisant ton post Axel, je vois de moins en moins où tu veux en venir... Ce n'était pas sur le nombre qu'il y avait un problème, si on est capable de le faire pour un ordi, on est capable pour n.

Sinon comme je l'avais suggéré plus haut, une autre solution dans mon cas, ce serait que quand je suis chez ma copine je commence par me connecter à mon boulot puis à partir de là je pourrais me connecter à ma machine. Dans ce cas, je n'ai à autoriser que l'ip fixe de mon boulot, donc pas de problème.

Gillaume

Re : tentative d'attaque par ssh ?

excusez moi, c'est quoi a mettre dans sshd_config pour accepter juste une adresse, pour se logguer sur le serveur ssh ?

quel est l'option a rajouter ?
je veux qu'il accepte que l'adresse 193.154.25.12 ...

merci
j'ai du mal a trouver ça

---

Guili Guili

Gillaume

Re : tentative d'attaque par ssh ?

j'ai essayé avec l'option :
listenadresss 193.154.25.12

j'ai redémarré le serveur ssh, et vlan, déconnecter !
qq peut me donner ce petit tuyau ?

---

Guili Guili

Axel

Re : tentative d'attaque par ssh ?

Ben c'est sympa de filer ton adresse ip a tout le monde...c'est convivial

Bon sinon, j'ai comme l'impression qu'il s'agit de ton adresse locale et non pas celle qui t'identifie lorsque tu es sur internet.
Si j'ai bien suivi il s'agit de l'adresse de ton ordi à ton entreprise, il y a donc surement un proxy entre toi et le monde extérieur, c'est cette adresse là qu'il te faut.
Mais evidemment, l'ensemble des pcs de ton entreprise pourront ouvrir un ssh chez toi (puisqu'ils passent tous par le meme proxy)...mais bon au moins ca sera moins anonyme que les coreens

Tao

Re : tentative d'attaque par ssh ?

les coréens auront juste à lire ce post pour se connecter chez toi

EDIT : quoique pas tout à fait vu que tu n'as pas mis l'ip du proxy, t'es bien chanceux !

Dernière modification par Tao (Le 26/04/2005, à 14:31)