[RESOLU] hacker fail2ban, pas possible!

pem1664 · Le 10/04/2010, à 12:09

Bonjour,

J'ai installé depuis quelque temps un serveur ssh et web (apache2) pour faire de la vidéosurveillance (avec zoneminder), tout ca fonctionne tres bien mais en consultant les logs je me suis redu compte que ce serveur était régulierement attaqué (attaques ssh). J'ai donc suivi les differents tuto pour mettre en place fail2ban.
Je l'ai paramétré comme il faut et il fonctionne (essai a distance en ssh 1 login, 3 mauvais passwd et hop connection timed out donc ca fonctionne! )
Maintenant la question que je me pose c'est s'il est possible de le faire sauter par des attaques? et comment?
Voila, j'ai bien conscience que ma question est a double tranchant mais comme toute protection n'est pas parfaite je me demandais...
J'ai bien cherché sur google mais je n'ai rien trouvé de concluant.. Est-ce vraiment inviolable? Si j'utilise des adresses ip fake et qu'a chaque essai je me fais bannir (temps de bannissement d'un an!) je peux recommencer avec une autre adresse jusqu'a trouver un login valable et un passwd valable aussi (pour le login j'ai constaté que c'etait souvent root qui était hacké). Ca prendra du temps mais ca devrais etre possible.
Enfin voila je me pose toutes ses questions car il y a quelques temps je me suis fait hacker mon serveur de données perso et la personne qui a fait ca m'a fichu un sacré bord*** (tous les fichiers en vrac dans un meme répertoire et faire du tri dans plus de 150000 fichiers c'est cho!) et il ne lui a fallu qu'une petite semaine pour y parvenir!!

Voila merci!

Dernière modification par pem1664 (Le 23/07/2010, à 01:51)

slasher-fun · Le 10/04/2010, à 12:13

Bonjour,

Un attaquant aurait donc 3 tentatives par IP. À moins que ton couple login/mot de passe soit très simple et que l'attaquant ait un très grand nombre d'IP à sa disposition, tu es protégé contre les attaques SSH.

pem1664 · Le 10/04/2010, à 12:16

oki, merci!
Et y'a pas moyen de le faire planter en lui adressant trop de requetes? un peu comme un serveur dhcp qui peu planter avec aircrack si on lui balance trop de requetes?
Et auquel cas que fait fail2ban ? il bloque tout par défaut ou laisser tout passer?

nesthib · Le 10/04/2010, à 13:15

tout dépend de ton paramétrage…
une remarque, un ban d'un an est très largement disproportionné, tu t'en mordras les doigts si tu te bloques à distance je pense que 10 min à 1h suffisent amplement !
perso j'ai fait un petit script pour voir les tentatives d'intrusion, il y en a tous les jours mais avec un blocage au bout de 3 échecs cela suffit à repousser les intrusions

pour plus de sécurité tu peux changer de port, interdire l'authentification par mdp, faire du port-knocking… bref jette un œil au fichier (et au man) /etc/ssh/sshd_config

pem1664 · Le 10/04/2010, à 13:26

Merci pour tes réponses, c'est vrai qu'un an c'est long et je viens de me bloquer expres pour voir si ca fonctionnait et ca fonctionne, juste que pour me débloquer j'ai du changer d'ip..)
Ton petit script il scrute le auth.log?
perso j'ai déja changé le port mais c'est surtout pour pouvoir piloter plusieurs machines sur le meme sous réseau.
J'ai une autre question : pour se connecter a zoneminder on passe par une interface web qui permet l'autentification mais si je me logue plusieurs fois avec un faux login et un faux passwd ca me bloque l'acces a zoneminder mais mon adresse ip n'apparait pas dans la jail d'apache/apache2 comment se faisse? zoneminder passe bien apache pour l'autentification non? faut-il créer une nouvelle prison juste pour zoneminder?

Dernière modification par pem1664 (Le 10/04/2010, à 13:37)

nesthib · Le 10/04/2010, à 13:42

pem1664 a écrit :

Merci pour tes réponses, c'est vrai qu'un an c'est long et je viens de me bloquer expres pour voir si ca fonctionnait et ca fonctionne, juste que pour me débloquer j'ai du changer d'ip..)
Ton petit script il scrute le auth.log?

oui entre autres

pem1664 a écrit :

perso j'ai déja changé le port mais c'est surtout pour pouvoir piloter plusieurs machines sur le meme sous réseau.

euh… je vois pas le rapport ? tu peux expliciter ?

pem1664 a écrit :

J'ai une autre question : pour se connecter a zoneminder on passe par une interface web qui permet l'autentification mais si je me logue plusieurs fois avec un faux login et un faux passwd ca me bloque l'acces a zoneminder mais mon adresse ip n'apparait pas dans la jail d'apache/apache2 comment se faisse? zoneminder passe bien apache pour l'autentification non? faut-il créer une nouvelle prison juste pour zoneminder?

aucune idée, je n'utilise fail2ban que pour ssh

pem1664 · Le 10/04/2010, à 14:00

nesthib a écrit :

pem1664 a écrit :
Merci pour tes réponses, c'est vrai qu'un an c'est long et je viens de me bloquer expres pour voir si ca fonctionnait et ca fonctionne, juste que pour me débloquer j'ai du changer d'ip..)
Ton petit script il scrute le auth.log?
oui entre autres

ca m'interresse ton petit script que scrutes -tu d'autre j'ai remarqué que dans fail2ban.log y'a pas grand chose juste le résultat "ban = IP"

nesthib a écrit :

pem1664 a écrit :
perso j'ai déja changé le port mais c'est surtout pour pouvoir piloter plusieurs machines sur le meme sous réseau.
euh… je vois pas le rapport ? tu peux expliciter ?

Bah pour pouvoir piloter plusieurs machines en ssh sur le meme sous reseau tu parametres par exemple) un pc avec le port 22 un autre avec le port 23 et tu rediriges les diferents ports via un routeur nat. Donc dans mon cas les ports correspondant au ssh sont déja d'autre ports que le 22 donc si ce serveur est attaqué au dictionnaire sur le port dédié au ssh il tombera sur rien d'ouvert

nesthib · Le 10/04/2010, à 14:21

ok j'avais pas suivi… perso je me connecte sur une seule machine (la seule routée vers l'extérieur) et c'est elle qui redirige les connections ssh.

pour le script faut que je le nettoie un peu, je compte en refaire une version propre. Envoie moi un mp et je te file ça quand j'aurais le temps (ou je posterai quand j'en aurai fait un plus propre)

BorX · Le 11/04/2010, à 00:08

Salut,

fail2ban se base sur les fichiers de log : il lance des actions dès qu'il y repère des activités anormales que tu peux toi-même définir.
Après, tu peux directement configurer ton firewall pour qu'il fasse un peu de même :

# Si 3 connexions SSH en 1 minute -> DROP
iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --set
iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 60 --hitcount 3 -j DROP

Ça, ça bloque pendant 1 minute une adresse IP qui effectuerait plus de 3 connexions sur le port 22 en moins d'une minute.

pem1664 a écrit :

J'ai une autre question : pour se connecter a zoneminder on passe par une interface web qui permet l'autentification mais si je me logue plusieurs fois avec un faux login et un faux passwd ca me bloque l'acces a zoneminder mais mon adresse ip n'apparait pas dans la jail d'apache/apache2 comment se faisse? zoneminder passe bien apache pour l'autentification non? faut-il créer une nouvelle prison juste pour zoneminder?

Je pense que c'est zoneminder qui a sa propre gestion des faux login (sûrement un stockage en base de données des ip ayant fait l'objet de trop de tentatives ratées de connexions).
Apache, lui, ne joue que son rôle de serveur web en faisant suivre les requêtes. Il ne rencontre donc pas d'erreur que fail2ban pourrait déceler dans les logs.
Si tu le souhaites, tu dois pouvoir repérer certaines répétitions de requêtes dans les logs d'Apache afin d'écrire toi-même ta règle fail2ban.

Kreocore · Le 11/04/2010, à 02:24

Change simplement le port par défaut de ton ssh, c'est des bots qui font que faire des tentatives sur le port 22 et tu verras que tes logs fail2ban seront vierges.
Si tu veux plus de sécurité, retire la possibilité de connexion en root.

Cordialement

pem1664 · Le 11/04/2010, à 11:12

Ok

@BorX ->je vais me pencher sur les logs d'apache pour zoneminder c'est une bonne idée j'avais regardé les logs de ZM mais y'avait pas grand chose (rien du tout meme dans /var/log/zm) mais en cherchant dans les logs mysql peut etre. En tout cas si je trouve quelque chose je posterais la regle si elle fonctionne
Dans le cas contraire si je peux faire une ligne qui scrute le port 80 avec iptable comme celles que tu m'a donné non?

@Kreocore ->Je change systématiquement le numéro du port ssh car car j'ai plusieurs machines ssh sur le meme sous reseau, les bots doivent scanner les ports car quelque soit le port le pc subit les attaques. Pour la connexion en root, je le bloque systématiquement aussi vu que l'utilisateur principal est aussi administrateur sudo donc a mon sens pas besoin d'avoir un user root.

en tout cas merci à vous pour vos réponses
Cordialement

BorX · Le 11/04/2010, à 14:10

pem1664 a écrit :

je vais me pencher sur les logs d'apache pour zoneminder c'est une bonne idée j'avais regardé les logs de ZM mais y'avait pas grand chose (rien du tout meme dans /var/log/zm) mais en cherchant dans les logs mysql peut etre. En tout cas si je trouve quelque chose je posterais la regle si elle fonctionne

Ça ne devrait pas être trop difficile si ZoneMinder a une requête HTTP particulière pour la page de login. Sinon, ça peut être plus compliqué.
Mais à mon sens, des règles fail2ban supplémentaires seraient un plus, mais ne serait pas indispensables. Un serveur web répond toujours aux requêtes et c'est aux applications de gérer leur sécurité (ce qui semble bien être le cas ici).
A la limite, tu peux restreindre l'accès à ton application : accès à partir de certaines IP seulement, selon certaines plages horaires, ... ou toujours les solutions de port knocking même pour le port 80...

Pense à suivre les conseils de cette page : http://doc.ubuntu-fr.org/tutoriel/securiser_apache2

Et au même titre qu'un serveur SSH sera plus sollicité s'il écoute le port 22, un serveur web est plus sollicité s'il écoute le port 80. Tous les bots ne balayent pas des plages d'IP.

pem1664 a écrit :

Dans le cas contraire si je peux faire une ligne qui scrute le port 80 avec iptable comme celles que tu m'a donné non?

Non, ça ne s'applique pas à ce cas là. Une navigation web entraîne naturellement plus de 3 requêtes par minute. Le moindre utilisateur se verrait bloqué dès la page de login (qui, entre les .js, les .css, les images, contient à elle seule plus de 3 requêtes HTTP).

EDIT :
Restreindre l'accès à un serveur Apache peut aussi bien se faire dans la conf d'Apache qu'au niveau du firewall (iptables).
Chez moi, j'ai plus tendance à jouer direct avec iptables, et à toucher la conf d'Apache comme une sécurité secondaire.

Dernière modification par BorX (Le 11/04/2010, à 14:13)

pem1664 · Le 12/04/2010, à 09:25

Merci BorX pour tes explications et conseils, je vais voir ce que je peux en faire avec fail2ban, zoneminder et apache pour rendre tout ca inaccessible aux intrus
Je poste dés que j'ai quelque chose de concluant
Merci à tous pour vos réponses!

Ubuntu-fr

Navigation

Liens de recherche

Annonce

#1 Le 10/04/2010, à 12:09

[RESOLU] hacker fail2ban, pas possible!

#2 Le 10/04/2010, à 12:13

Re : [RESOLU] hacker fail2ban, pas possible!

#3 Le 10/04/2010, à 12:16

Re : [RESOLU] hacker fail2ban, pas possible!

#4 Le 10/04/2010, à 13:15

Re : [RESOLU] hacker fail2ban, pas possible!

#5 Le 10/04/2010, à 13:26

Re : [RESOLU] hacker fail2ban, pas possible!

#6 Le 10/04/2010, à 13:42

Re : [RESOLU] hacker fail2ban, pas possible!

#7 Le 10/04/2010, à 14:00

Re : [RESOLU] hacker fail2ban, pas possible!

#8 Le 10/04/2010, à 14:21

Re : [RESOLU] hacker fail2ban, pas possible!

#9 Le 11/04/2010, à 00:08

Re : [RESOLU] hacker fail2ban, pas possible!

#10 Le 11/04/2010, à 02:24

Re : [RESOLU] hacker fail2ban, pas possible!

#11 Le 11/04/2010, à 11:12

Re : [RESOLU] hacker fail2ban, pas possible!

#12 Le 11/04/2010, à 14:10

Re : [RESOLU] hacker fail2ban, pas possible!

#13 Le 12/04/2010, à 09:25

Re : [RESOLU] hacker fail2ban, pas possible!

Pied de page des forums